Tot seguit afegim una actualització sobre la desarticulació del lloc de filtració de dades i un missatge de la banda de programari de segrest.

Avui, el Departament de Justícia ha anunciat que l’FBI ha accedit amb èxit als servidors de l’operatiu de programari de segrest ALPHV per controlar les seves activitats i obtenir claus de desxifrat.

El 7 de desembre, BleepingComputer va informar per primera vegada que els llocs web ALPHV, també coneguts com BlackCat, van deixar de funcionar de sobte, inclosos els llocs de negociació Tor de la banda de programari de segrest i filtracions de dades.

Tot i que l’administrador d’ALPHV va afirmar que es tractava d’un problema d’allotjament, BleepingComputer va saber que estava relacionat amb una operació judicial.

Avui, el Departament de Justícia ha confirmat la nostra notícia, i ha afirmat que l’FBI va dur a terme una operació judicial que els va permetre accedir a la infraestructura d’ALPHV.

Amb aquest accés, l’FBI va supervisar en silenci l’operatiu del programari de segrest durant mesos mentre s’apropiava de les claus de desxifrat. Aquestes claus de desxifrat van permetre a l’FBI ajudar 500 víctimes a recuperar els seus fitxers de forma gratuïta, cosa que va estalviar aproximadament 68 milions de dòlars en demandes de rescat.

A més, l’FBI ha confiscat el domini del lloc de fuites de dades d’ALPHV, que ara mostra una pantalla on s’indica que ha estat confiscada en una operació judicial internacional.

L’FBI diu que van confiscar el lloc web després d’obtenir els parells de claus públiques i privades per als serveis ocults de Tor amb què operava el lloc web, cosa que els va permetre prendre el control dels URL.

“Durant aquesta investigació, les forces de l’ordre van aconseguir visibilitat a la xarxa del grup de programari de segrest Blackcat”, diu una ordre de cerca sense segellar.

“A conseqüència d’això, l’FBI va identificar i recopilar 946 parells de claus públiques/privades per als llocs Tor que el grup de programari de segrest Blackcat va utilitzar per allotjar llocs de comunicació de les víctimes, llocs de fuites i panells d’afiliats com els descrits anteriorment.”

“L’FBI ha desat aquests parells de claus públiques/privades al Flash Drive.”

El missatge de la confiscació indica que l’operació policial va ser realitzada per la policia i agències d’investigació dels EUA, Europol, Dinamarca, Alemanya, Regne Unit, Països Baixos, Alemanya, Austràlia, Espanya i Àustria.

“L’Oficina Federal d’Investigacions (FBI) va embargar aquest lloc com a part d’una acció judicial coordinada que es va dur a terme contra el grup ALPHV BlackCat de programari de segrest”, diu el missatge de la confiscació.

“Aquesta acció s’ha dut a terme en coordinació amb l’Oficina del Fiscal dels Estats Units per al Districte Sud de Florida i la secció de delictes informàtics i propietat intel·lectual del Departament de Justícia amb una assistència substancial de l’Europol i la Zentrale Kriminalinspektion Guttingen.”

Des de la interrupció dels servidors d’ALPHV, els afiliats han anat perdent la confiança en l’operatiu, i BleepingComputer ha sabut que s’han posat en contacte amb les víctimes directament per correu electrònic en lloc d’utilitzar el lloc de negociació Tor de la banda.

Això probablement va ser degut al fet que els actors de l’amenaça creien que la infraestructura d’ALPHV havia estat compromesa per les forces de seguretat, posant-los en risc si l’utilitzaven.

El grup de programari de segrest LockBit també ha vist aquesta interrupció com un regal de vacances anticipades,  i s’ha ofert als afiliats perquè els passin la seva operativa per continuar negociant amb les víctimes.

Un tercer accés per part de les forces de seguretat

Aquest grup de programari de segrest ha funcionat amb diversos noms al llarg dels anys i ha estat intervingut per les forces de seguretat cada vegada.

Inicialment, van començar com a DarkSide l’agost de 2020 i després  van deixar d’actuar el maig de 2021 després d’haver-se d’enfrontar a la pressió de diverses operacions de les forces de seguretat causades per l’atac molt divulgat de la banda a Colonial Pipeline.

Més tard el grup va tornar com a BlackMatter el 31 de juliol però, una vegada més, va haver d’aturar les seves operacions  el novembre de 2021 després que Emisoft explotés una debilitat per crear un desencriptador  i es van poder confiscar els servidors.

La banda va tornar una altra vegada el novembre de 2021, aquesta vegada amb el nom de BlackCat/ALPHV. Des d’aleshores, la banda de programari de segrest ha anat evolucionant constantment les seves tàctiques d’extorsió i ha dut a terme enfocaments poc habituals d’associació amb socis angloparlants.

Tanmateix, la banda de programari de segrest s’ha tornat cada cop més tòxica durant el darrer any, i ha publicat fotos de nus procedents de dades robades i ha contactat agressivament amb les víctimes, cosa que provocat que s’hagin posat fàcilment en el punt de mira de les forces de seguretat.

Tal com vam veure en el passat, a causa d’aquesta operació, no ens sorprendria gens que la banda torni a aparèixer en un futur pròxim amb un nom nou.

BlackCat “desconfisca” el lloc de filtració de dades

Dimarts a la tarda, el grup de programari de segrest va “desconfiscar” el seu lloc de filtració de dades per recuperar el control de l’URL i va afirmar que l’FBI havia accedit a un centre de dades que utilitzaven per allotjar-hi servidors.

Com que tant els operadors d’ALPHV com l’FBI controlen ara les claus privades que s’utilitzen per registrar l’URL .onion del lloc de fuites de dades a Tor, estan fent un estira-i-arronsa amb el control de l’URL, cosa que s’ha fet al llarg de tot el dia.

Dins de la seva comunicació de no confiscació d’ALPHV, la banda va anunciar el llançament d’un nou URL Tor per al seu lloc de filtració de dades del qual l’FBI no té les claus privades i, per tant, no el pot confiscar. 

La banda de programari de segrest va afirmar que l’FBI només va tenir accés a les claus de desxifrat durant l’últim mes i mig, que són unes 400 empreses. No obstant això, van dir que ara 3.000 víctimes més perdran les claus.

El grup també va dir que estan eliminant totes les restriccions dels seus afiliats, cosa que els permet orientar-se a qualsevol organització que desitgin, inclosa la infraestructura crítica. Els afiliats encara tenen restringit l’atac a països de la Comunitat d’Estats Independents (CEI), que abans formaven part de la Unió Soviètica.

Finalment, l’operatiu del grup de programari de segrest ha augmentat la quota d’ingressos dels afiliats fins a un 90% d’un rescat pagat, probablement per convèncer-los que no canviïn a un altre grup que ofereixi el programari de segrest com a servei.

La declaració completa traduïda automàticament a l’anglès es comparteix a continuació:

“Com tots sabeu, l’FBI va tenir les claus del nostre bloc, i ara us explicarem com va passar.

Primer, com va passar tot, després d’examinar els seus documents, entenem que van tenir accés a un dels DC, perquè tots els altres DC estaven intactes, per tant, és evident que d’alguna manera van piratejar un dels nostres amfitrions, potser fins i tot ell mateix els va ajudar.

El màxim que tenen són les claus de l’últim mes i mig, són unes 400 empreses, però ara, per culpa d’ells, més de 3.000 empreses no rebran mai les claus.

A causa de les seves accions, estem introduint noves normes, o més aviat eliminant TOTES les regles excepte una, no pots tocar el CIS, ara ja pots bloquejar hospitals, centrals nuclears, qualsevol cosa i a qualsevol lloc.

El preu ara és del 90 % per a tots els anuncis.

No fem cap descompte a les empreses, el pagament és estrictament l’import que hem especificat.

Els anunciants VIP reben el seu programa d’afiliació privat, que només generem per a ells, en un DC separat, completament aïllat els uns dels altres.

Gràcies per la teva experiència, tindrem en compte els nostres errors i treballarem encara més, esperant els teus ploriqueigs als xats i les teves sol·licituds de descompte, que ja no existeixen.”