“A aplicação da lei está se movendo muito mais rápido, mas ainda não é rápida o suficiente”, diz Allan Liska, analista da empresa de segurança Recorded Future, especializada em ransomware. grupos causam estragos.”
Parte da razão para o atraso das autoridades na tentativa de derrubar a infra-estrutura do Alphv pode ter sido uma investigação em curso sobre os actores por detrás do grupo. Alphv/BlackCat parece ter evoluído de uma gangue conhecida como BlackMatter, que, por sua vez, parecia emergir como uma recombinação do notório grupo de ransomware Darkside que tinha como alvo o Colonial Pipeline nos EUA.
“Este não é o primeiro show de merda deles. Infelizmente, provavelmente também não será o último”, diz Brett Callow, analista de ameaças da empresa de antivírus Emsisoft. “Mas os parceiros do Alphv no crime estarão se perguntando: que informações as autoridades policiais conseguiram coletar? E quem isso implica?
O esforço de remoção envolveu colaboração e investigações paralelas de várias agências de aplicação da lei, incluindo as do Reino Unido, Austrália, Alemanha, Espanha e Dinamarca. O Departamento de Justiça dos EUA disse na terça-feira que uma ferramenta de descriptografia para o ransomware Alphv desenvolvida pelo FBI já ajudou mais de 500 vítimas a se recuperarem de ataques e evitar o pagamento de cerca de US$ 68 milhões em resgates.
Como os grupos de ransomware dependem mais de um modelo híbrido, em que grande parte da sua influência na extorsão provém da ameaça de vazarem dados roubados das vítimas, os desencriptadores são apenas uma das muitas ferramentas necessárias para ajudar as vítimas a evitar o pagamento de resgates. Mas a tentativa da Alphv, na tarde de terça-feira, de permitir que seus clientes usassem seu ransomware para ataques a serviços vitais, como hospitais e usinas nucleares, tornou a existência do descriptografador mais significativa, dado o quão perigosa e perturbadora essa atividade pode ser.
“A declaração sobre como visar infraestruturas críticas é bastante preocupante. Esta será uma batalha contínua, com certeza. A aplicação da lei terá que implementar agressivamente as chaves e ferramentas de descriptografia para as vítimas”, diz Alex Leslie, analista de inteligência de ameaças da Recorded Future. “E a extorsão de dados ainda está em jogo. De modo geral, a extorsão de dados não seria tão perturbadora em termos de uma crise de segurança nacional no curto prazo, mas quem sabe.”
A mandato de busca divulgado pelo FBI diz que as autoridades obtiveram credenciais de login para as plataformas da gangue de ransomware de uma “fonte humana confidencial” com acesso ao grupo. Embora não tenha ficado imediatamente claro como o Alphv “desaproveitou” seu site após a ação policial, os pesquisadores começaram a se unir em torno de algumas teorias na tarde de terça-feira. Como tanto os cibercriminosos quanto as autoridades policiais tiveram acesso às chaves de login, é possível que vários sites tenham sido registrado no mesmo endereço Tor ou que o Alphv conseguiu adicionar outro registro e então apontar o site para servidores que as autoridades não controlavam. Da mesma forma, porém, o acesso presumivelmente profundo das autoridades policiais à infraestrutura da gangue foi provavelmente o que lhes permitiu retomar o local.
O Departamento de Justiça dos EUA observou na manhã de terça-feira que as pessoas com informações sobre Alphv/Blackcat e suas afiliadas devem se apresentar e ainda podem ser elegíveis para uma recompensa através do Departamento de Estado dos EUA.
Atualizado em 19/12/23, 14h55 horário do leste dos EUA para refletir que a aplicação da lei restabeleceu seu controle do site de vazamento da dark web da Alphv.
