L'FBI continua ad agire contro il gruppo APT ALPHV alias BlackCat. L'FBI ha bloccato brevemente la pagina di fuga del gruppo sul dark web. Adesso è di nuovo aperto e ALPHV annuncia in russo che 3.000 aziende non riceveranno mai le chiavi del loro ransomware.
Non c’è mai stato uno scambio di colpi più aperto tra l’FBI e un gruppo APT. L'FBI ha pubblicato una dichiarazione in cui afferma di aver rilevato diversi server ALPHV e di mettere ora a disposizione di 500 vittime uno strumento di decrittazione. "Smantellando il gruppo ransomware BlackCat, il Dipartimento di Giustizia ha nuovamente hackerato gli hacker", ha affermato il procuratore generale aggiunto Lisa O. Monaco.
🔎 La pagina di fuga di ALPHV sulla darknet è stata inizialmente confiscata dall'FBI (Immagine: B2B-C-S).
“Con uno strumento di decrittazione che l’FBI ha messo a disposizione di centinaia di vittime di ransomware in tutto il mondo, aziende e scuole hanno potuto riaprire e i servizi sanitari e di emergenza sono tornati online. Continueremo a dare priorità alla disruption e a mettere le vittime al centro della nostra strategia per sconvolgere l’ecosistema che alimenta la criminalità informatica”.
ALPHV risponde con minacce
Nella Darknet, l'FBI aveva contrassegnato la pagina leak con una nota in cui si diceva che la pagina era stata “sequestrata”. Solo poche ore dopo, ALPHV ha ripreso il sopravvento sul sito e lo ha nuovamente “dirottato”. Apparentemente l'FBI e l'APLHV hanno le chiavi di accesso necessarie per il sito e non possono bloccarsi a vicenda.
🔎 Ma ALPHV è riuscita a riattivare la pagina di fuga e, secondo le sue stesse parole, l'ha “confiscata” (Immagine: B2B-C-S).
Nella pagina sbloccata, ALPHV fornisce l'indirizzo di un nuovo sito di fuga di notizie a cui l'FBI non avrebbe accesso. Il gruppo minaccia anche apertamente in russo di sapere come l'FBI riusciva ad ottenere l'accesso. La dichiarazione di guerra continua: “Il massimo che hanno (l’FBI, ndr) sono le chiavi dell’ultimo mese e mezzo, cioè circa 400 aziende, ma ora più di 3.000 aziende non riceveranno mai le loro chiavi”. La minaccia continua: “A causa delle vostre azioni, stiamo introducendo nuove regole, o meglio, stiamo rimuovendo TUTTE le regole…. Grazie per la tua esperienza, valuteremo i nostri errori e lavoreremo ancora di più, aspettiamo le tue lamentele in chat e richieste di sconti che non esistono più.”.
Il nuovo sito di fuga è online – ma solo 6 vittime
La nuova pagina di fuga è ora online, ma al momento mostra solo 6 nuove vittime del gruppo ransomware. Non è ancora chiara la misura in cui l’intero ecosistema ALPHV sia stato distrutto dall’FBI. Ma l’FBI ha già dimostrato più volte che non si tratta di una tigre sdentata. Questo è quello che è successo smantellare la banda di ransomware Ragnar LockerChe Rete QBot o Qakbot sciolta o ultimo Membri dell'HIVE arrestati.
Altro su Justice.gov