Una importante eliminación de ransomware sufre un extraño revés – MundoDaily

«Las fuerzas del orden se están moviendo mucho más rápido, pero aún no lo suficientemente rápido», dice Allan Liska, analista de la firma de seguridad Recorded Future, que se especializa en ransomware. ruina.»

Parte del retraso de las autoridades al intentar derribar la infraestructura de Alphv puede haber sido la investigación continua de los actores detrás del grupo. Alphv/BlackCat parece haber evolucionado a partir de una pandilla conocida como BlackMatter, que a su vez pareció surgir como una recombinación del notorio grupo de ransomware Darkside que atacó a Colonial Pipeline en los EE. UU.

«Este no es su primer show de mierda. Desafortunadamente, probablemente tampoco será el último», dice Brett Callow, analista de amenazas de la compañía antivirus Emsisoft. «Pero los cómplices de Alphv se preguntarán qué información pudieron recopilar las autoridades y a quién implica».

El esfuerzo de eliminación implicó la colaboración e investigaciones paralelas de múltiples agencias policiales, incluidas las del Reino Unido, Australia, Alemania, España y Dinamarca. Y el Departamento de Justicia de Estados Unidos dijo el martes que una herramienta de descifrado para el ransomware Alphv desarrollada por el FBI ya ha ayudado a más de 500 víctimas a recuperarse de ataques y evitar pagar alrededor de 68 millones de dólares en rescates.

A medida que los grupos de ransomware dependen más de un modelo híbrido en el que gran parte de su influencia de extorsión proviene de la amenaza de filtrar los datos robados de las víctimas, los descifradores son sólo una de las muchas herramientas necesarias para ayudar a las víctimas a evitar el pago de rescates. Pero si Alphv dice que está abriendo las compuertas para que los clientes utilicen su ransomware para atacar servicios vitales como hospitales y plantas de energía nuclear, la existencia del descifrador es significativa en lo peligrosa y disruptiva que puede ser dicha actividad.

“La afirmación sobre atacar infraestructuras críticas es bastante preocupante. Seguramente esta será una batalla continua. Las fuerzas del orden tendrán que implementar agresivamente claves y herramientas de descifrado para las víctimas”, dice Alex Leslie, analista de inteligencia de amenazas de Recorded Future. “Y la extorsión de datos todavía está en juego. En términos generales, la extorsión de datos no sería tan perjudicial en términos de una crisis de seguridad nacional en el corto plazo, pero quién sabe”.

A orden de registro publicado por el FBI dice que las autoridades policiales obtuvieron las credenciales de inicio de sesión para las plataformas de la banda de ransomware de una «fuente humana confidencial» con acceso al grupo. Si bien no quedó claro de inmediato cómo Alphv “desaprobó” su sitio web luego de la redada policial, los investigadores comenzaron a fusionarse en torno a algunas teorías el martes por la tarde. Dado que tanto los ciberdelincuentes como las fuerzas del orden tenían acceso a las claves de inicio de sesión, es posible que varios sitios web fueran registrado en la misma dirección Tor o Alphv logró agregar otro registro y luego apuntar el sitio a servidores que las autoridades no controlan. Callow de Emsisoft también señala que, si bien parece poco probable, también es posible que las autoridades publicaran la nota de «decepción» como parte de su operación.

El Departamento de Justicia de EE.UU. señaló el martes por la mañana que las personas con información sobre Alphv/Blackcat y sus afiliados deben presentarse y aún pueden ser elegibles para una recompensa a través del Departamento de Estado de EE.UU.