El FBI pasó gran parte del martes enfrascado en un tira y afloja en línea con uno de los grupos de ransomware más agresivos de Internet después de tomar el control de la infraestructura que el grupo ha utilizado para generar más de 300 millones de dólares en pagos ilícitos hasta la fecha.
El martes por la mañana temprano, el sitio web oscuro perteneciente a AlphV, un grupo de ransomware que también se conoce con el nombre de BlackCat, de repente comenzó a mostrar un cartel que decía que había sido incautado por el FBI como parte de una acción policial coordinada. Atrás quedó todo el contenido que AlphV había publicado en el sitio anteriormente.
Casi al mismo tiempo, el Departamento de Justicia dicho había interrumpido las operaciones de AlphV al lanzar una herramienta de software que permitiría a aproximadamente 500 víctimas de AlphV restaurar sus sistemas y datos. En total, dijeron funcionarios del Departamento de Justicia, AlphV había extorsionado aproximadamente 300 millones de dólares a 1.000 víctimas.
Un declaración jurada Mientras tanto, revelado en un tribunal federal de Florida, reveló que la interrupción involucró a agentes del FBI que obtuvieron 946 claves privadas utilizadas para alojar sitios de comunicación de víctimas. El documento legal decía que las claves se obtuvieron con la ayuda de una fuente humana confi dencial que había “respondido a un anuncio publicado en un foro en línea de acceso público solicitando candidatos para puestos de afiliados de Blackcat”.
“Al desbaratar el grupo de ransomware BlackCat, el Departamento de Justicia ha vuelto a atacar a los piratas informáticos”, dijo la Fiscal General Adjunta Lisa O. Monaco en el anuncio del martes. “Con una herramienta de descifrado proporcionada por el FBI a cientos de víctimas de ransomware en todo el mundo, las empresas y las escuelas pudieron reabrir, y los servicios de atención médica y de emergencia pudieron volver a estar en línea. Continuaremos dando prioridad a las interrupciones y colocando a las víctimas en el centro de nuestra estrategia para desmantelar el ecosistema que alimenta el ciberdelito”.
En cuestión de horas, el aviso de incautación del FBI que se mostraba en el sitio web oscuro de AlphV desapareció. En su lugar había un nuevo aviso que proclamaba: “Este sitio web ha sido desmantelado”. El nuevo aviso, escrito por funcionarios de AlphV, restó importancia a la acción del FBI. Si bien no cuestionan que la herramienta de descifrado funcionó para 400 víctimas, los funcionarios de AlphV dijeron que la interrupción impediría que se descifren los datos pertenecientes a otras 3.000 víctimas.
“Ahora, gracias a ellos, más de 3.000 empresas nunca recibirán sus claves”.
A medida que pasaban las horas, el FBI y AlphV se disputaban el control del sitio de la web oscura, y cada uno reemplazaba los avisos del otro.
Un investigador describió la lucha en curso como un “remolcador de tor”, una referencia a Tor, la red de servidores que permite a las personas navegar y publicar sitios web de forma anónima. Como la mayoría de los grupos de ransomware, AlphV aloja sus sitios en Tor. Este acuerdo no sólo impide que los investigadores encargados de hacer cumplir la ley identifiquen a los miembros del grupo, sino que también impide que los investigadores obtengan órdenes judiciales que obliguen al proveedor de alojamiento web a ceder el control del sitio.
La única forma de controlar una dirección Tor es poseer una clave de cifrado privada dedicada. Una vez que el FBI lo obtuvo, los investigadores pudieron publicarle el aviso de incautación del martes. Dado que AlphV también mantenía la posesión de la clave, los miembros del grupo eran igualmente libres de publicar su propio contenido. Dado que Tor hace imposible cambiar la clave privada correspondiente a una dirección, ninguna de las partes ha podido bloquear a la otra.
Con ambas partes esencialmente estancadas, AlphV ha recurrido a eliminar algunas de las restricciones que anteriormente imponía a sus afiliados. Según el modelo común de ransomware como servicio, los afiliados son quienes realmente piratean a las víctimas. Cuando tienen éxito, los afiliados utilizan el ransomware y la infraestructura AlphV para cifrar datos y luego negociar y facilitar un pago mediante Bitcoin u otra criptomoneda.
Hasta ahora, AlphV imponía normas a sus afiliados que les prohibían atacar hospitales e infraestructuras críticas. Ahora, esas reglas ya no se aplican a menos que la víctima se encuentre en la Comunidad de Estados Independientes, una lista de países que alguna vez formaron parte de la ex Unión Soviética.
“Debido a sus acciones, estamos introduciendo nuevas reglas, o mejor dicho, estamos eliminando TODAS las reglas excepto una, no se puede tocar la CEI, ahora se pueden bloquear hospitales, plantas de energía nuclear, cualquier cosa, en cualquier lugar”, decía el aviso de AlphV. El aviso decía que AlphV también permitía a los afiliados retener el 90 por ciento de cualquier pago de rescate que recibieran, y que los afiliados “VIP” recibirían un programa privado en centros de datos separados y aislados. La medida es probablemente un intento de frenar la posible deserción de afiliados asustados. por el acceso del FBI a la infraestructura de AlphV.
El ir y venir ha llevado a algunos a decir que la interrupción fracasó, ya que AlphV retiene el control de su sitio y continúa poseyendo los datos que robó de las víctimas. En una discusión en las redes sociales con uno de esos críticos, el experto en ransomware Allan Liska respondió.
“El servidor y todos sus datos todavía están en posesión del FBI, y ALPHV no recuperará nada de eso”, escribió Liska, investigadora de amenazas de la firma de seguridad Recorded Future.
“Pero bueno, tienes razón y yo estoy 100% equivocado. Le animo a usted y a todos los grupos de ransomware a que se registren ahora para ser afiliados de ALPHV, definitivamente es seguro. ¡Hazlo, Pollo!