Rumor indica que a interrupção do site do ransomware ALPHV pode ter sido causada por ação da polícia
11 de Dezembro de 2023

Uma operação de aplicação da lei é cogitada como causadora de uma falha que afeta os sites do grupo de ransomware ALPHV pelas últimas 30 horas.

Os sites de negociação e vazamento de dados do ALPHV (também conhecido como BlackCat) não está disponível desde ontem e continua assim até hoje.

O BleepingComputer também confirmou que as URL's de negociação únicas do Tor compartilhadas com as vítimas nas notas de resgate também estão indisponíveis, indicando uma interrupção na infraestrutura pública do grupo de ransomware e uma paralisação nas negociações em andamento.

Quando questionado ontem sobre a interrupção, o Administrador do ALPHV disse ao BleepingComputer que os sites podem voltar online em breve.

Foi há 20 horas e os sites continuam fora do ar até agora.

O status do Tox para o Admin afirma que a operação está consertando seus servidores, mas eles não responderam às perguntas sobre o que aconteceu.

No entanto, o BleepingComputer suspeita que o grupo de ransomware pode ter sofrido uma possível ação da aplicação da lei após suas recentes atividades, o que também foi sugerido por outros.

"Ouvi boatos (e fortes) de que o ALPHV/Blackcat foi visitado pelo FBI", diz um tweet de alguém chamado Evangelos G.

Na tarde de sexta-feira, a empresa de segurança cibernética RedSense Intel também confirmou ao BleepingComputer que os servidores foram desligados devido a uma ação policial.

"Hoje, a RedSense pode confirmar que o site do grupo de ransomware ALPHV também conhecido como BlackCat foi derrubado pela aplicação da lei," RedSense também compartilhou em um tweet no X.

O BleepingComputer não conseguiu confirmar independentemente se a FBI violou os servidores do ALPHV e eles se recusaram a comentar quando questionados sobre as interrupções.

No entanto, interrupções semelhantes foram vistas no passado devido a operações policiais.

Por exemplo, quando a FBI violou os servidores do REvil, eles obtiveram as chaves de descriptografia para as vítimas do ataque de ransomware da Kaseya.

Da mesma forma, o FBI invadiu a infraestrutura do Hive, obtendo secretamente chaves de descriptografia e as disseminando para as vítimas.

É você um afiliado do ALPHV ou alguém com informações sobre as interrupções do site do ALPHV? Se quiser compartilhar as informações, pode contactar-nos de forma segura no Signal pelo +1 (646) 961-3731, por e-mail em tips@bleepingcomputer[.]com, ou usando nosso formulário de envio de dicas.

A operação de ransomware do ALPHV/BlackCat é considerada uma reformulação do gangue DarkSide.

A operação começou em 2020 e rapidamente ganhou destaque no ano seguinte.

No entanto, logo após atacar o Oleoduto Colonial, a gangue de ransomware sofreu um escrutínio intenso do governo dos EUA e da aplicação da lei internacional, culminando na apreensão de sua infraestrutura e no encerramento da operação.

Apenas alguns meses depois, a gangue de ransomware voltou, desta vez sob o nome de BlackMatter.

No entanto, os gerentes dessa operação afirmaram em uma entrevista que eram afiliados da operação DarkSide e não os líderes originais.

Somente um curto período de quatro meses depois, a BlackMatter encerrou sua operação em novembro de 2021 depois de alegar que estava sob pressão da aplicação da lei.

Em fevereiro de 2022, a gangue de ransomware voltou mais uma vez, desta vez com o nome de ALPHV, também conhecido como BlackCat, devido a uma imagem usada em seus sites de negociação Tor.

Embora esta marca tenha começado como a maioria das gangues de ransomware, visando empresas em ataques de extorsão em todo o mundo, eles expandiram suas operações ao se associarem a afiliados de língua inglesa e visarem infraestruturas críticas, como hospitais e fornecedores de água.

Por conta disso, era apenas uma questão de tempo até sentirem novamente o controle da aplicação da lei, seja esta interrupção ou uma futura.

Atualização em 12/8/23: Adicionadas confirmações públicas de que a paralisação dos servidores está relacionada à ação da aplicação da lei.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...