En diciembre 19, 2023, El FBI eliminó uno de los sitios de ransomware ALPHV/BlackCat. La típica pancarta del FBI ahora decora su principal, mientras que otros sitios de la banda de ciberdelincuentes todavía están en línea. Este evento posiblemente esté relacionado con el tiempo de inactividad de 5 días de toda la infraestructura Darknet de la pandilla hace una semana..
Sitio de ransomware ALPHV/BlackCat incautado
Alrededor 13:00 GMT, uno de los sitios cebolla de BlackCat comenzó a devolver la pancarta del FBI, que indica que el sitio está siendo confiscado por las fuerzas del orden. Pero al mismo tiempo, otra infraestructura Darknet está en funcionamiento, lo que significa que la convulsión probablemente sea local.
Todo esto se vuelve más interesante cuando recordamos los eventos que ocurrieron en los sitios Darknet de ALPHV hace una semana.. Tanto el sitio de filtración como las páginas de negociación estaban caídos. – simplemente no responde, sin pancartas. En ese punto, Muchos boletines de ciberseguridad comenzaron a suponer que esto era una señal de que las autoridades policiales estaban visitando a los piratas informáticos.. Sin embargo, ya que los sitios volvieron a estar en línea en 5 días, quedó claro que todas estas suposiciones eran falsas.
¿O eran? Una incautación de sitios web tan consecuente, junto con el silencio de ALPHV sobre los motivos de la parada anterior, deja mucho espacio para las reflexiones. Más probablemente, algo estaba sucediendo relacionado con la interrupción del FBI, pero los piratas informáticos lograron escapar y recuperar la infraestructura de la red.. Esto parece realista ya que Todos los registros sobre las víctimas anteriores han desaparecido., como puedes ver arriba.
Antes, Hemos visto la situación en la que los sitios de los piratas informáticos estaban respaldados. después de la interrupción de la aplicación de la ley. En marzo 2023, an infamous BreachForums was taken down por el FBI después de que su administrador fuera detenido. Poco después de, otro administrador reinició el foro sólo para notificar a los usuarios sobre lo que está sucediendo. Esto no detuvo lo inevitable: BF fue eliminado until the “reborn” liderado por los ShinyHackers.
El FBI confiscó el sitio ALPHV Darknet: la continuación de la tendencia?
Todas las hipótesis y comparaciones a un lado., Los desmantelamiento de infraestructuras de red son una nueva tendencia liderada por el FBI.. QakBot infrastructure ruination, Interrupción de la botnet IPStorm, Trigona ransomware servers wiping – esto es sólo una parte de eventos pasados y presentes con la misma intención. Y la incautación de sitios ALPHV completará esta lista maravillosamente..
¿Eso detendrá por completo a la banda de ransomware?? Por supuesto que no. Para grandes jugadores, como es el ALPHV, la recuperación es solo cuestión de tiempo, Tienen suficiente dinero para sostener un período de inactividad.. QakBot realmente lo demuestra by being back in business con la campaña de spam por correo electrónico iniciada en diciembre 11, 2023. No obstante, para bandas de ciberdelincuentes más pequeñas, tal interrupción puede ser una razón seria para detener la actividad.
Como actualmente no hay declaraciones ni del FBI ni de los hackers de ALPHV/BlackCat, La historia se desarrollará con nuevos detalles muy pronto.. Actualizaré esta publicación a medida que aparezca nueva información; asegúrese de regresar y revisar.
UPD 12/19/23 14:00 GMT
Dos datos más: afirmaciones oficiales de ALPHV y comunicado de prensa del FBI, publicado en su sitio oficial. Repasémoslos uno por uno..
En un chat con VX-Underground, Los piratas informáticos aseguran que no pasó nada con sus activos web utilizados activamente.. El FBI eliminó “el blog que borraron hace mucho tiempo”, y la pagina que usan ahora está en una dirección diferente. Aunque, hasta donde recuerdo, este “viejo” sitio fue utilizado como espejo durante algún tiempo. Incluso si es verdad, Podría haber algunos restos de información útil para las autoridades..
Lo que contrasta con las afirmaciones de los piratas informáticos es el comunicado de prensa del FBI, que indica no sólo sobre la eliminación del sitio. Las autoridades ofrecen la herramienta de descifrado a las víctimas de ALPHV de cualquier país. Presuntamente, Han desarrollado la solución hace algún tiempo., y lo ofrecían a todas las víctimas a través de sus oficinas y las de sus socios.. Los federales también dicen sobre tener acceso a la red interna del grupo.. Probablemente esa sea la razón del derribo de hoy..
UPD 12/19/23 18:00 GMT
El sitio web incautado parece ser.. no incautado. Al menos esto es lo que dice ahora. – con el logotipo de BlackCat en la parte superior y una nota de texto debajo. esta escrito en ruso, y repite parcialmente lo que le dijeron a VX-Underground en el chat. Pero luego aparecen algunas cosas interesantes.:
Sí, como puedes leer arriba, para vengar la incautación del sitio, ALPHV elimina todas las limitaciones de ataque. Estos son lo que se conoce como «reglas de hacking ético» – sin ataques a infraestructuras críticas, como hospitales, estaciones nucleares, y otros. No todas las pandillas los siguen, aunque la mayoría de los grandes y de larga duración sí lo hacen. Pero ahora, ALPHV parece estar fuera de esto «club», y empezará a atacar prácticamente lo que sea.
Después de todo, Todo lo que tengo que decir es que ocurre una especie de caos.. ¿Cómo obtuvo el FBI acceso al sitio?? ¿Cómo recuperó ALPHV el acceso?? ¿Qué pasa con las claves de descifrado?? Probablemente, Veremos la explicación de esto muy pronto..
UPD 12/19/23 20:00 GMT
La pancarta del FBI ha vuelto. Estos son eventos aparentemente históricos.. ¿Deberíamos esperar a la ronda? 2 con el sitio de fuga actual?
