O ransomware BlackCat encerra suas atividades em golpe de saída, culpando os "federais"
6 de Março de 2024

A gangue de ransomware BlackCat está realizando um golpe de saída, tentando fechar operações e fugir com o dinheiro dos afiliados, fingindo que o FBI apreendeu seu site e infraestrutura.

A gangue anunciou que agora está vendendo o código-fonte do malware pelo alto preço de $5 milhões.

Em um fórum de hackers, ALPHV disse que eles decidiram "fechar o projeto" por causa dos "federais", sem fornecer detalhes adicionais ou esclarecimentos.

No entanto, uma agência nacional de aplicação da lei listada no banner de apreensão confirmou para o BleepingComputer que não estavam envolvidos em qualquer recente interrupção da infraestrutura do ALPHV.

A gangue de ransomware iniciou a operação de golpe de saída na sexta-feira, quando retiraram offline o blog de vazamento de dados Tor.

Na segunda-feira, eles fecharam ainda mais os servidores de negociação, dizendo que decidiram desligar tudo, em meio a reclamações de um afiliado de que os operadores roubaram um resgate de 20 milhões de dólares da Change Healthcare.

Ontem, o status da gangue no Tox mudou para 'GG' ('Bom jogo') - sugerindo o fim da operação, e mais tarde para "vendendo código-fonte 5kk", indicando que eles queriam $5 milhões pelo seu malware.

Em uma mensagem em um fórum de hackers compartilhada por Dmitry Smilyanets do Recorded Future, os administradores da operação disseram que "decidiram fechar completamente o projeto" e "podemos declarar oficialmente que os federais nos estragaram.

No momento da escrita, o site de vazamento do ALPHV mostra um falso banner anunciando que o Federal Bureau of Investigation (FBI) apreendeu o servidor em uma ação coordenada contra o Ransomware Blackcat ALPHV.

Enquanto a Europol ainda não respondeu aos nossos e-mails, a NCA disse ao BleepingComputer que eles não estão envolvidos em qualquer recente interrupção da infraestrutura do ALPHV, mesmo que estejam listados na falsa mensagem de apreensão.

O FBI recusou-se a comentar sobre o aviso de apreensão.

BleepingComputer notou que a imagem do banner de apreensão está hospedada em uma pasta chamada "/THIS WEBSITE HAS BEEN SEIZED_files/", o que claramente indica que o banner foi extraído de um arquivo.

O especialista em ransomware, Fabian Wosar, disse ao BleepingComputer que a gangue do ransomware simplesmente criou um SimpleHTTPServer Python para exibir o falso banner.

"Então eles simplesmente salvaram o aviso de remoção do antigo site de vazamento e criaram um servidor HTTP Python para exibí-lo em seu novo site de vazamento.

Preguiça", disse Fabian Wosar ao BleepingComputer.

Além disso, Wosar diz que seus contatos na Europol e na NCA "negaram qualquer tipo de envolvimento" na apreensão do site de ransomware do ALPHV.

Apesar da declaração da NCA e das evidências de que o banner no site de vazamento não é resultado de uma atividade policial, ALPHV disse ao BleepingComputer que sua infraestrutura foi apreendida.

Rumores de um possível golpe de saída do ALPHV começaram quando um parceiro de longa data do ALPHV, um chamado "Notchy", afirmou que a gangue tinha fechado sua conta e roubado um pagamento de $22 milhões supostamente pago pela Optum pelo ataque à Change Healthcare.

Como prova de sua afirmação, o afiliado compartilhou um endereço de pagamento em criptomoeda que registrou apenas uma transferência de entrada de 350 bitcoins (cerca de $23 milhões) de uma carteira que parece ter sido usada especificamente para esta transação em 2 de março.

Depois de receber os fundos, o endereço do destinatário que supostamente pertence aos operadores do ALPHV distribuiu os bitcoins para várias carteiras em transações iguais de cerca de $3,3 milhões.

Vale ressaltar que, embora o endereço do destinatário esteja agora vazio, ele mostra que recebeu e enviou perto de $94 milhões.

Com reclamações dos afiliados por não receberem o pagamento, um fechamento súbito da infraestrutura, cortando laços com vários afiliados, a mensagem "GG" no Tox, anunciando que estão vendendo o código-fonte do malware, e principalmente fingindo que o FBI assumiu o controle de seus sites, tudo isso é um claro indicativo de que os administradores do ransomware ALPHV/BlackCat estão executando um golpe de saída.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...