«Las fuerzas del orden se están moviendo mucho más rápido, pero todavía no lo suficientemente rápido», dice Allan Liska, analista de la firma de seguridad Recorded Future, que se especializa en ransomware. «Se necesita un tiempo para construir un caso y, mientras tanto, estos Los grupos causan estragos”.
Parte del motivo del retraso de las fuerzas del orden en intentar derribar la infraestructura de Alphv puede haber sido una investigación en curso sobre los actores detrás del grupo. Alphv/BlackCat parece haber evolucionado a partir de una pandilla conocida como BlackMatter, que, a su vez, pareció surgir como una recombinación del notorio grupo de ransomware Darkside que atacó a Colonial Pipeline en los EE. UU.
“Este no es su primer espectáculo de mierda. Desafortunadamente, probablemente tampoco será el último”, dice Brett Callow, analista de amenazas de la empresa antivirus Emsisoft. “Pero los cómplices de Alphv se preguntarán qué información pudieron recopilar las autoridades. ¿Y a quién implica?
El esfuerzo de desmantelamiento implicó la colaboración e investigaciones paralelas de múltiples agencias policiales, incluidas las del Reino Unido, Australia, Alemania, España y Dinamarca. El Departamento de Justicia de Estados Unidos dijo el martes que una herramienta de descifrado para el ransomware Alphv desarrollada por el FBI ya ha ayudado a más de 500 víctimas a recuperarse de los ataques y evitar el pago de aproximadamente 68 millones de dólares en rescates.
A medida que los grupos de ransomware dependen más de un modelo híbrido, en el que gran parte de su influencia para la extorsión proviene de la amenaza de filtrar datos robados a las víctimas, los descifradores son sólo una de las muchas herramientas necesarias para ayudar a las víctimas a evitar el pago de rescates. Pero el intento de Alphv el martes por la tarde de permitir que sus clientes usaran su ransomware para ataques a servicios vitales como hospitales y plantas nucleares hizo que la existencia del descifrador fuera más significativa, dado lo peligrosa y disruptiva que podría ser esa actividad.
“La afirmación sobre atacar infraestructuras críticas es bastante preocupante. Seguramente esta será una batalla continua. Las fuerzas del orden tendrán que implementar agresivamente las claves y herramientas de descifrado para las víctimas”, dice Alex Leslie, analista de inteligencia de amenazas de Recorded Future. “Y la extorsión de datos todavía está sobre la mesa. En términos generales, la extorsión de datos no sería tan perjudicial en términos de una crisis de seguridad nacional en el corto plazo, pero quién sabe”.
Una orden de registro emitida por el FBI dice que las fuerzas del orden obtuvieron las credenciales de inicio de sesión para las plataformas de la banda de ransomware de una «fuente humana confidencial» con acceso al grupo. Aunque no quedó claro de inmediato cómo Alphv había «desmantelado» su sitio luego de la acción policial, los investigadores comenzaron a unirse en torno a algunas teorías el martes por la tarde. Dado que tanto los ciberdelincuentes como las fuerzas del orden tenían acceso a las claves de inicio de sesión, es posible que se registraran varios sitios en la misma dirección Tor o que Alphv pudiera agregar otro registro y luego apuntar el sitio a servidores que las fuerzas del orden no controlaban. Sin embargo, de la misma manera, el presumiblemente profundo acceso de las fuerzas del orden a la infraestructura de la pandilla es probablemente lo que les permitió retomar el sitio.
El Departamento de Justicia de EE.UU. señaló el martes por la mañana que las personas con información sobre Alphv/Blackcat y sus afiliados deben presentarse y aún pueden ser elegibles para una recompensa a través del Departamento de Estado de EE.UU.
Actualizado el 19/12/23 a las 2:55 pm ET para reflejar que las fuerzas del orden restablecieron su control del sitio de filtración de la web oscura de Alphv.