Seis dias antes do Natal, o Departamento de Justiça dos EUA anunciou em voz alta uma vitória na luta contínua contra o flagelo do ransomware: uma operação internacional liderada pelo FBI tinha como alvo o notório grupo de hackers conhecido como BlackCat ou AlphV, liberando chaves de descriptografia para frustrar seu resgate. tentativas contra centenas de vítimas e apreensão dos sites obscuros que utilizou para ameaçá-las e extorquir. “Ao interromper o grupo de ransomware BlackCat, o Departamento de Justiça mais uma vez hackeou os hackers”, declarou a vice-procuradora-geral Lisa Monaco em uma afirmação.
Dois meses e uma semana depois, porém, esses hackers não parecem particularmente “perturbados”. Nos últimos sete dias, a BlackCat manteve como refém a empresa médica Change Healthcare, paralisando o seu software em hospitais e farmácias nos Estados Unidos, levando a atrasos nas prescrições de medicamentos para um número incontável de pacientes.
A interrupção contínua na Change Healthcare, relatado pela primeira vez ser um ataque BlackCat da Reuters, representa um incidente particularmente sombrio na epidemia de ransomware, não apenas devido à sua gravidade, à sua duração e ao impacto potencial na saúde das vítimas. Analistas de rastreamento de ransomware dizem que isso também ilustra como até mesmo as vitórias das autoridades contra grupos de ransomware parecem ter vida cada vez mais curta, à medida que os hackers que as autoridades visam em apreensões cuidadosamente coordenadas simplesmente reconstroem e reiniciam seus ataques impunemente.
“Como não podemos prender os principais operadores que estão na Rússia ou em áreas que não cooperam com a aplicação da lei, não podemos detê-los”, diz Allan Liska, pesquisador focado em ransomware da empresa de segurança cibernética Recorded Future. Em vez disso, diz Liska, as autoridades policiais muitas vezes tiveram de se contentar em passar meses ou anos a organizar remoções que visavam infra-estruturas ou vítimas de ajuda, mas sem pôr as mãos nos perpetradores dos ataques. “Os atores da ameaça só precisam se reagrupar, ficar bêbados durante um fim de semana e depois começar de novo”, diz Liska.
Em outra operação mais recente, a Agência Nacional do Crime do Reino Unido liderou na semana passada um amplo esforço de remoção contra o notório grupo de ransomware Lockbit, sequestrando sua infraestrutura, apreendendo muitas de suas carteiras de criptomoedas, derrubando seus sites obscuros e até obtendo informações sobre seus operadores e parceiros. No entanto, menos de uma semana depois, a Lockbit já lançou um novo site obscuro onde continua a extorquir suas vítimas, mostrando cronômetros de contagem regressiva para cada uma delas que indicam os dias ou horas restantes antes de despejar seus dados roubados online.
Nada disso significa que as operações BlackCat ou Lockbit das autoridades policiais não tiveram algum efeito. BlackCat listou 28 vítimas em seu dark web site em fevereiro até agora, uma queda significativa em relação aos mais de 60 Recorded Future contados em seu site em dezembro, antes da remoção do FBI. (A Change Healthcare não está atualmente listada entre as vítimas atuais do BlackCat em seu site, embora os hackers supostamente assumiu o crédito pelo ataque, de acordo com o site de rastreamento de ransomware Breaches.net. A Change Healthcare também não respondeu ao pedido da WIRED para comentar o ataque cibernético.)
A Lockbit, por sua vez, pode estar escondendo a extensão de sua interrupção por trás da alarde de seu novo site de vazamento, argumenta Brett Callow, analista de ransomware da empresa de segurança Emsisoft. Ele diz que o grupo provavelmente está minimizando a apreensão da semana passada, em parte para evitar perder a confiança de seus parceiros afiliados, os hackers que penetram nas redes das vítimas em nome da Lockbit e podem ficar assustados com a possibilidade de a Lockbit ter sido comprometida pelas autoridades.
