El FBI continúa tomando medidas contra el grupo APT ALPHV alias BlackCat. El FBI bloqueó brevemente la página de filtración del grupo en la web oscura. Ahora está abierto de nuevo y ALPHV anuncia en ruso que 3.000 empresas nunca recibirán las claves de su ransomware.
Nunca ha habido un intercambio de golpes más abierto entre el FBI y un grupo de la APT. El FBI publicó un comunicado diciendo que se había hecho cargo de varios servidores ALPHV y que ahora estaba poniendo una herramienta de descifrado a disposición de 500 víctimas. “Al desmantelar el grupo de ransomware BlackCat, el Departamento de Justicia ha vuelto a piratear a los piratas informáticos”, dijo la Fiscal General Adjunta Lisa O. Monaco.
🔎 La página de filtración de ALPHV en la red oscura fue confiscada por primera vez por el FBI (Imagen: B2B-C-S).
“Con una herramienta de descifrado que el FBI puso a disposición de cientos de víctimas de ransomware en todo el mundo, las empresas y las escuelas pudieron reabrir y los servicios de salud y emergencia pudieron volver a estar en línea. Continuaremos dando prioridad a la disrupción y poniendo a las víctimas en el centro de nuestra estrategia para alterar el ecosistema que alimenta el ciberdelito”.
ALPHV responde con amenazas
En Darknet, el FBI había marcado la página filtrada con una nota que decía que la página había sido "incautada". Apenas unas horas más tarde, ALPHV volvió a tomar ventaja en el sitio y lo “secuestró” nuevamente. Al parecer, el FBI y la APLHV tienen las claves de acceso necesarias al sitio y no pueden bloquearse entre sí.
🔎 Pero ALPHV logró reactivar la página de filtración y, según sus propias palabras, la “confiscó” (Imagen: B2B-C-S).
En la página desbloqueada, ALPHV proporciona la dirección de un nuevo sitio de filtración al que el FBI no tendría acceso. El grupo también amenaza abiertamente en ruso con que ahora saben cómo solía acceder el FBI. La declaración de guerra continúa: “Lo máximo que tienen (nota del editor “el FBI”) son las claves del último mes y medio, eso son unas 400 empresas, pero ahora más de 3.000 empresas nunca recibirán sus claves”. La amenaza continúa: “Debido a sus acciones, estamos introduciendo nuevas reglas, o mejor dicho, estamos eliminando TODAS las reglas…. Gracias por tu experiencia, consideraremos nuestros errores y trabajaremos aún más duro, esperamos tus quejas en chats y solicitudes de descuentos que ya no existen”.
Hay un nuevo sitio de filtración en línea, pero solo 6 víctimas
La nueva página de filtración ya está en línea, pero actualmente solo muestra 6 nuevas víctimas del grupo de ransomware. Aún no está claro hasta qué punto el FBI destruyó todo el ecosistema ALPHV. Pero el FBI ya ha demostrado varias veces que no se trata de un tigre desdentado. Eso fue lo que paso desmantelando la banda de ransomware Ragnar LockerQue Disuelta la red QBot o Qakbot o último Miembros de HIVE arrestados.
Más en Justice.gov