El Departamento de Justicia de los Estados Unidos (DoJ) anunció recientemente una importante victoria en la lucha contra el ciberdelito con la interrupción de las operaciones del ransomware BlackCat. Además, ha puesto a disposición una herramienta de descifrado que beneficiará a más de 500 afectados, permitiéndoles recuperar archivos que habían sido cifrados por este malware.
Los registros judiciales revelan que la Oficina Federal de Investigaciones (FBI) de los EE. UU. logró infiltrarse en la organización del ransomware BlackCat, gracias a la cooperación de una fuente humana confidencial (CHS). Esta fuente actuó como afiliado dentro del grupo, ganando acceso a un panel de control web clave para la gestión de las víctimas del ransomware, en una estrategia que podría describirse como "hackear a los hackers".
Esta operación no solo contó con la participación del FBI, sino que también involucró la colaboración de agencias de aplicación de la ley de varios países, incluyendo Alemania, Dinamarca, Australia, el Reino Unido, España, Suiza y Austria.
BlackCat, también conocido como ALPHV, GOLD BLAZER y Noberus, apareció en escena por primera vez en diciembre de 2021. Desde entonces, se ha consolidado como la segunda variante más extendida del modelo de ransomware como servicio (RaaS) en el mundo, solo superada por LockBit. Es notable por ser la primera variante de ransomware basada en el lenguaje de programación Rust detectada en el ámbito real.
Te podrá interesar leer: Perfil del sitio en la dark web: BlackCat (ALPHV)
El cese de operaciones de BlackCat se confirmó tras el cierre y posterior reactivación de su portal de filtraciones en la dark web, lo que había generado especulaciones sobre una posible intervención policial.
El FBI ha desempeñado un papel clave, trabajando con decenas de víctimas en los EE. UU. para implementar el descifrador, evitando así demandas de rescate que sumaban aproximadamente 68 millones de dólares. Además, la agencia logró recopilar información vital sobre la red informática del ransomware, obteniendo 946 pares de claves públicas/privadas utilizadas para operar sitios en la red TOR, lo que facilitó su desmantelamiento.
Es relevante destacar que la creación de un servicio oculto en la red TOR con una URL .onion genera un par de claves único, compuesto por una clave pública y una privada. Estas claves son esenciales para acceder y controlar la URL, y si caen en manos de un tercero, pueden ser utilizadas para redirigir el tráfico a un servidor bajo control externo.
BlackCat, al igual que otras operaciones de ransomware, seguía un modelo de RaaS, donde los desarrolladores principales y afiliados colaboran en el proceso, siendo los últimos los responsables de identificar y atacar instituciones de alto valor.
El grupo también recurría al método de doble extorsión, extrayendo datos confidenciales antes de proceder al cifrado para aumentar la presión sobre las víctimas y forzar el pago del rescate. El Departamento de Justicia informó que los afiliados de BlackCat ganaban acceso a las redes de sus víctimas mediante varios métodos, incluido el uso de credenciales de usuario comprometidas.
En resumen, se estima que este grupo con fines de lucro comprometió las redes de más de 1.000 víctimas a nivel mundial, generando casi 300 millones de dólares en ingresos ilegales hasta septiembre de 2023.
La desactivación del grupo de ransomware BlackCat ha resultado ser una oportunidad inesperada para competidores como LockBit. Este último está aprovechando la circunstancia para atraer afiliados desplazados y ofrecer su plataforma de filtración de datos para retomar negociaciones con las víctimas.
Te podrá interesar leer: Lockbit: Peligroso Tipo de Ransomware
Según informes de vx-underground, un representante de BlackCat aseguró que el grupo había trasladado sus servidores y blogs, minimizando el impacto del acceso policial a una "antigua y obsoleta clave" del antiguo blog que, según ellos, ya no se utilizaba.
A pesar del golpe sufrido, el sitio de filtración más reciente de BlackCat sigue activo. "El 13 de diciembre, el grupo listó a su primera víctima en su nuevo sitio de filtración", señaló Secureworks. "Hasta el 19 de diciembre, cinco víctimas habían sido agregadas al nuevo sitio, demostrando que el grupo mantenía ciertas capacidades operativas".
Sin embargo, pocas horas después del desmantelamiento, BlackCat procedió a "desactivar" su sitio principal de filtración usando el mismo conjunto de claves criptográficas que permiten operar un servicio oculto en la red TOR, y colgó un anuncio de incautación.
El grupo también ha dado luz verde a sus afiliados para infiltrarse en infraestructuras críticas como hospitales y centrales nucleares, así como en otros objetivos, excluyendo aquellos en la Comunidad de Estados Independientes (CEI), en una acción aparentemente retaliativa. Posteriormente, el FBI retomó control del sitio web.
"Aunque las amenazas del grupo pueden interpretarse como bravuconería, tienen un historial comprobado de ataques a infraestructuras de salud y energía", explicó la Unidad de Contra Amenazas de Secureworks. "Dado que estas actividades suelen llamar la atención de las autoridades, lo cual es evitado por muchos grupos, es improbable que los afiliados se enfoquen específicamente en dichas organizaciones, ya que el ransomware suele ser un crimen de oportunidad basado en el acceso a redes de víctimas".
"Aun así, algunos afiliados menos aversos al riesgo pueden estar dispuestos a atacar organizaciones de energía y salud. Por otro lado, la incertidumbre generada por la intervención policial podría disuadir a los afiliados de BlackCat, empujándolos hacia otros operadores de ransomware como LockBit. Este tipo de intervenciones tienden a generar desconfianza y paranoia entre los miembros y afiliados de los grupos de ransomware".
Te podrá interesar leer: Costo de Inacción en Ciberseguridad
Conclusión
El desmantelamiento de BlackCat por parte del FBI es un paso significativo en la lucha contra el ciberdelito. Este evento no solo demuestra la creciente capacidad de las agencias de aplicación de la ley para combatir el ransomware, sino que también sirve como un llamado de atención para que empresas y usuarios mejoren sus prácticas de seguridad cibernética.
Como sociedad, debemos continuar fortaleciendo nuestras defensas contra estas amenazas digitales. La colaboración entre agencias gubernamentales, el sector privado y los usuarios individuales es fundamental para crear un entorno digital más seguro para todos.
