En un golpe significativo contra el ciberdelito, el Departamento de Justicia de los Estados Unidos anunció la exitosa interrupción de la operación del ransomware BlackCat. El FBI lideró esta operación, colaborando con agencias de aplicación de la ley de Estados Unidos y varios países, incluyendo Alemania, Dinamarca, Australia, el Reino Unido, España, Suiza y Austria.
La operación involucró la colaboración de una fuente humana confidencial (CHS), que actuó como afiliada del grupo BlackCat para obtener acceso al panel web utilizado para administrar a las víctimas del ransomware. BlackCat, también conocido como ALPHV, GOLD BLAZER y Noberus, había surgido en diciembre de 2021 y se había convertido en la segunda variante de ransomware como servicio más prolífico del mundo.
La acción conjunta permitió al FBI confiscar el control del ransomware y desmantelar los sitios TOR operados por el grupo. Además, se lanzó una herramienta de descifrado gratuita que más de 500 víctimas afectadas pueden utilizar para recuperar el acceso a los archivos bloqueados por el malware.
Es importante destacar que BlackCat utilizaba un modelo de ransomware como servicio, involucrando tanto a desarrolladores principales como a afiliados. Estos afiliados, alquilando la carga útil, eran responsables de identificar y atacar a instituciones víctimas de alto valor. El grupo también empleaba el esquema de doble extorsión, exfiltrando datos confidenciales antes del cifrado para presionar a las víctimas a pagar rescates.
Se estima que el actor con motivaciones financieras comprometió las redes de más de 1,000 víctimas en todo el mundo, generando ingresos ilegales de casi 300 millones de dólares hasta septiembre de 2023.
El FBI trabajó estrechamente con docenas de víctimas en los EE. UU. para implementar el descifrador, evitando demandas de rescate por un total de alrededor de 68 millones de dólares. Además, se obtuvo información valiosa sobre la red informática del ransomware.
A pesar de estos éxitos, se observa que grupos rivales como LockBit están capitalizando la situación, reclutando activamente afiliados desplazados y ofreciendo sus servicios a víctimas. BlackCat, por su parte, ha intentado resistir el golpe, moviendo servidores y blogs, pero las autoridades han seguido tomando medidas para contener cualquier actividad remanente.
