Em dezembro 19, 2023, um dos sites de ransomware ALPHV/BlackCat foi derrubado pelo FBI. O banner típico do FBI agora decora seu principal, enquanto outros sites da gangue do crime cibernético ainda estão online. Este evento está possivelmente relacionado ao tempo de inatividade de 5 dias de toda a infraestrutura Darknet da gangue há uma semana.
Site de ransomware ALPHV/BlackCat apreendido
Por volta 13:00 GMT, um dos locais de cebola do BlackCat começou a devolver o banner do FBI, que afirma que o site foi apreendido pelas autoridades. mas ao mesmo tempo, outra infraestrutura Darknet está instalada e funcionando, o que significa que a convulsão é provavelmente local.
Tudo isso se torna mais interessante quando lembramos os eventos que aconteceram nos sites Darknet do ALPHV há uma semana. Tanto o site de vazamento quanto as páginas de negociação estavam fora do ar – apenas sem resposta, sem nenhuma bandeira. Nesse ponto, muitos boletins informativos sobre segurança cibernética começaram a supor que isso era um sinal de que os hackers estavam sendo visitados pelas autoridades policiais. No entanto, já que os sites estavam online novamente em 5 dias, ficou claro que todas essas suposições eram falsas.
Ou eles eram? Uma conseqüente apreensão de site, junto com o silêncio do ALPHV sobre os motivos da paralisação anterior, abra muito espaço para reflexões. Muito provavelmente, havia algo acontecendo relacionado à interrupção do FBI, mas os hackers conseguiram escapar e recuperar a infraestrutura de rede. Isso parece realista, pois todos os registros relativos às vítimas anteriores desapareceram, como você pode ver acima.
Antes, vimos a situação em que os sites dos hackers voltaram a funcionar após a interrupção da aplicação da lei. De volta em março 2023, an infamous BreachForums was taken down pelo FBI depois que seu administrador foi detido. Um pouco depois, outro administrador reiniciou o fórum apenas para notificar os usuários sobre o que está acontecendo. Isso não impediu o inevitável – BF foi retirado do ar until the “reborn” liderado pelos ShinyHackers.
FBI apreendeu site ALPHV Darknet – A continuação da tendência?
Todas as hipóteses e comparações à parte, as quedas de infraestrutura de rede são uma nova tendência liderada pelo FBI. QakBot infrastructure ruination, Interrupção do botnet IPStorm, Trigona ransomware servers wiping – isto é apenas uma parte de eventos passados e em curso com a mesma intenção. E a apreensão de sites ALPHV irá completar esta lista lindamente.
Isso impedirá totalmente a gangue de ransomware? Claro que não. Para grandes jogadores, como o ALPHV é, a recuperação é apenas uma questão de tempo, eles têm dinheiro suficiente para sustentar um período ocioso. QakBot realmente prova isso by being back in business com a campanha de spam por e-mail iniciada em dezembro 11, 2023. Apesar disso, para gangues menores de crimes cibernéticos, tal interrupção pode ser um motivo sério para interromper a atividade.
Como atualmente não há declarações dos hackers do FBI e ALPHV/BlackCat, a história se desenrolará com novos detalhes em breve. Atualizarei esta postagem à medida que novas informações aparecerem – não deixe de voltar e conferir.
Atualização 12/19/23 14:00 GMT
Mais duas informações: reivindicações oficiais do ALPHV e do comunicado de imprensa do FBI, publicado em seu site oficial. Vamos revisá-los um por um.
Em um bate-papo com VX-Underground, hackers garantem que nada aconteceu com seus ativos da web usados ativamente. O FBI retirou do ar “o blog que eles apagaram há muito tempo”, e a página que eles usam agora está em um endereço diferente. No entanto, Até onde eu lembro, este site “antigo” foi usado como espelho por algum tempo. Mesmo que seja verdade, pode haver alguns vestígios de informações úteis para a aplicação da lei.
O que contrasta com as afirmações dos hackers é o comunicado de imprensa do FBI, que afirma não apenas sobre a remoção do site. A aplicação da lei oferece a ferramenta de descriptografia para vítimas de ALPHV de qualquer país. Alegadamente, eles desenvolveram a solução há algum tempo, e estavam oferecendo isso a todas as vítimas através dos escritórios deles e de parceiros. Os federais também falam sobre ter acesso à rede interna do grupo. Esse é provavelmente o motivo da remoção de hoje.
Atualização 12/19/23 18:00 GMT
O site apreendido parece ser.. não apreendido. Pelo menos é isso que diz agora – com o logotipo BlackCat na parte superior e uma nota de texto abaixo. Está escrito em russo, e repete parcialmente o que disseram ao VX-Underground no chat. Mas então algumas coisas interessantes aparecem:
Sim, como você pode ler acima, para vingar a apreensão do site, ALPHV remove todas as limitações de ataque. Estes são o que é conhecido como “regras de hacking ético” – sem ataques a infraestruturas críticas, como hospitais, estações nucleares, e outros. Nem todas as gangues os seguem, embora a maioria dos grandes e de longa duração o façam. Mas agora, ALPHV parece estar fora disso “clube”, e começará a atacar praticamente qualquer coisa.
Afinal, tudo o que tenho a dizer é que algum tipo de caos acontece. Como o FBI conseguiu acesso ao site? Como o ALPHV recuperou o acesso? Qual é o problema com as chaves de descriptografia? Provavelmente, veremos a explicação para isso em breve.
Atualização 12/19/23 20:00 GMT
A bandeira do FBI está de volta. Estes são eventos aparentemente históricos. Devemos esperar pela rodada 2 com o local do vazamento atual?