Como soubemos ontem, a gangue de ransomware ALPHV/BlackCat foi desmantelada pelo FBI. No entanto, antes disso, a gangue fez mais de US$ 300 milhões (cerca de R$ 1,46 bilhões) em pagamentos de resgate de mais de 1.000 vítimas em todo o mundo até setembro de 2023, de acordo com o próprio FBI.
Ransomware BlackCat recebe R$ 1,46 bilhões dos resgates das vítimas
As afiliadas da ALPHV Blackcat têm extensas redes e experiência em operações de ransomware e extorsão de dados.
De acordo com o FBI, em setembro de 2023, as afiliadas do ALPHV Blackcat comprometeram mais de 1.000 entidades – quase 75 por cento das quais estão nos Estados Unidos e aproximadamente 250 fora dos Estados Unidos -, exigiram mais de US$ 500 milhões e receberam quase US$ 300 milhões em pagamentos de resgate.
FBI
No comunicado conjunto publicado hoje em colaboração com a CISA, o FBI também compartilhou medidas de mitigação para ajudar os defensores da rede e as organizações de infraestrutura crítica a reduzir o impacto e os riscos associados aos ataques deste grupo de ransomware. As duas agências também forneceram IOCs (indicadores de compromisso) e TTPs (táticas, técnicas e procedimentos) do ALPHV identificados pelo FBI recentemente, em 6 de dezembro.
Os defensores da rede são fortemente incentivados a priorizar a correção de vulnerabilidades exploradas em estado selvagem e a impor a autenticação multifator (MFA) com senhas fortes em todos os serviços, especialmente para webmail, VPN e contas vinculadas a sistemas críticos.
Além disso, devem atualizar e corrigir regularmente o software para as versões mais recentes e concentrar-se nas avaliações de vulnerabilidades como componentes integrantes dos protocolos de segurança padrão.
O BlackCat
BlackCat/ALPHV surgiu há mais de dois anos, em novembro de 2021, e é suspeito de ser uma reformulação da notória operação de ransomware DarkSide e BlackMatter. Originalmente conhecido como DarkSide, este grupo ganhou notoriedade mundial após seu ataque ao Colonial Pipeline, levando a extensas investigações por parte das agências de aplicação da lei.
O FBI já vinculou esta gangue de ransomware a mais de 60 violações que afetaram organizações em todo o mundo nos primeiros quatro meses de atividade, de novembro de 2021 a março de 2022.
Em 7 de dezembro, o BleepingComputer relatou pela primeira vez que os sites obscuros do ALPHV, incluindo os sites de negociação Tor e vazamento de dados da gangue, pararam de funcionar repentinamente. Ontem, o FBI violou os servidores da operação de ransomware ALPHV, monitorando com sucesso suas atividades e obtendo chaves de descriptografia.
Uma teoria provável, embora ainda não confirmada, é que o FBI explorou vulnerabilidades que permitiram despejar o banco de dados ou obter acesso adicional ao servidor da gangue de ransomware. Esta situação foi vista como uma espécie de presente de Natal por outros grupos de crimes cibernéticos, com a gangue de ransomware LockBit, por exemplo, pedindo aos afiliados do ransomwareque trocassem de equipe para continuar as negociações com as vítimas.