La pandilla de ransomware Blackcat, también conocida como ALPHV, ha sufrido un duro golpe en los últimos días, asestado por el FBI.
El Departamento de Justicia ha anunciado que la agencia comprometió de forma exitosa los servidores del grupo monitorizando sus actividades y llegando a obtener las claves para elaborar una herramienta de descifrado.
Parece que el pasado 7 de diciembre ya se había observado que los sitios web de ALPHV dejaban de funcionar de manera repentina, incluyendo su página de filtraciones y su sitio de negociación en Tor, según se percataba Bleeping Computer.
Aunque en un primer momento el administrador de la banda afirmaba que se trataba de un problema de alojamiento, el medio especializado en ciberseguridad descubrió que había una operación policial detrás, adelantando la noticia al comunicado del Departamento de Justicia.
El FBI habría supervisado silenciosa y discretamente la operación durante meses mientras extraía las claves de descifrado. Gracias a ellas, la oficina habría ayudado a más de medio millar de víctimas a recuperar sus archivos de manera gratuita, sin tener que asumir el pago de un rescate. Así, les habría ahorrado 68 millones de dólares en conjunto.
"Durante esta investigación, las fuerzas del orden obtuvieron visibilidad de la red de Blackcat Ransomware Group" puede leerse en una orden de registro abierta.
"Como resultado, el FBI identificó y recopiló 946 pares de claves públicas/privadas para sitios Tor que Blackcat Ransomware Group utilizó para alojar sitios de comunicación de víctimas, sitios de filtración y paneles de afiliados como los descritos anteriormente", añaden.
Del mensaje de incautación publicado se desprende que la operación fue realizada por las fuerzas del orden y las agencias de investigación de EE.UU, Europol, Dinamarca, Alemania, Reino Unido, Países Bajos, Alemania, Australia, España y Austria.
La violación habría supuesto un duro golpe para la pandilla, con algunos afiliados que han perdido confianza en la operación de ransomware. Así, el grupo estaría negociando con las víctimas directamente por email en lugar de usar el sitio de negociación de Tor.
El gato negro reacciona
Blackcat rápidamente reaccionó y hace un par de días recuperaba su sitio de filtración de datos, anunciándolo mediante un mensaje.
El grupo de ciberdelincuentes asegura que el FBI solo obtuvo acceso a las claves de descifrado durante el último mes y medio, lo que en cifras ascendería a unas 400 empresas. Sin embargo, dijeron que otras 3.000 víctimas ahora perderán sus claves.
Además, la pandilla como una especie de compensación ha anunciado que van a eliminar todas las restricciones de sus afiliados, permitiéndoles apuntar a cualquier organización que deseen, incluyendo las infraestructuras críticas.
La única línea roja que mantendrán es atacar a países de la Comunidad de Estados Independientes (CEI) que anteriormente formaban parte de la Unión Soviética.
"Debido a sus acciones, estamos introduciendo nuevas reglas, o más bien eliminando TODAS las reglas excepto una. No se puede tocar la CEI, ahora se pueden bloquear hospitales y plantas de energía nuclear, cualquier cosa y en cualquier lugar", afirman en una declaración completa.
Por último, Blackcat ha decidido reducir su comisión, dando a los afiliados un 90% del rescate pagado, en lugar de un 80%. Eso hace su variante de ransomware más competitiva respecto a otras 'rivales'.