Ciberseguridad 360 | Operación policial podría estar detrás de la caída del sitio del ransomware ALPHV

El sitio web oficial de filtraci�n del famoso grupo de ransomware conocido como BlackCat y ALPHV ha estado fuera de l�nea durante d�as y se cree que las fuerzas del orden est�n detr�s de la eliminaci�n.

Los sitios de negociaci�n y filtraci�n de datos de ALPHV (tambi�n conocido como BlackCat) han estado inaccesible desde el 7 de diciembre.

Se confirm� que las URL �nicas de negociaci�n en Tor compartidas con las v�ctimas en las notas de rescate tambi�n est�n inactivas, lo que indica una interrupci�n en la infraestructura p�blica de la banda de ransomware y una pausa en las negociaciones en curso.

El sitio de fuga de datos de ALPHV no est� operativo

Cuando se le pregunt� sobre la interrupci�n, el administrador de ALPHV dijo que los sitios podr�an volver en l�nea pronto.

Sin embargo, los sitios contin�an fuera de servicio en este momento.

La situaci�n del administrador en Tox afirma que la operaci�n est� reparando sus servidores, pero no ha respondido preguntas sobre lo sucedido.

El administrador muestra "Reparaci�n" como su estado Tox

Sin embargo, se sospecha que la banda de ransomware podr�a haber sufrido una acci�n potencial de la aplicaci�n de la ley despu�s de sus actividades recientes, lo cual tambi�n fue insinuado por otros.

"Escuchando rumores fuertes (y s�lidos) de que ALPHV/Blackcat ha recibido la visita del FBI", dice un tweet de alguien llamado Evangelos G.

El viernes 8 por la tarde, la firma de ciberseguridad RedSense Intel tambi�n confirm� a que los servidores fueron cerrados debido a una acci�n policial.

"Hoy, RedSense puede confirmar que el sitio de ALPHV, alias BlackCat ransomware gang, ha sido retirado por la aplicaci�n de la ley", comparti� RedSense tambi�n en un tweet en X.

No se ha podido confirmar de manera independiente si el FBI vulner� los servidores de ALPHV y se negaron a hacer comentarios cuando se les pregunt� sobre las interrupciones.

Sin embargo, en el pasado, se observaron interrupciones similares debido a operaciones policiales.

Por ejemplo, cuando el FBI vulner� los servidores de REvil, obtuvieron las claves de descifrado para las v�ctimas del ataque de ransomware de Kaseya.

De manera similar, el FBI hacke� la infraestructura de Hive, obteniendo secretamente claves de descifrado y distribuy�ndolas a las v�ctimas.

Una rebranding en proceso

Se cree que la operaci�n de ransomware ALPHV/BlackCat es un rebranding de la banda DarkSide. La operaci�n se lanz� en 2020 y r�pidamente gan� notoriedad en el a�o siguiente.

Sin embargo, despu�s de atacar el Colonial Pipeline, la banda de ransomware enfrent� una intensa escrutinio por parte del gobierno de los Estados Unidos y la aplicaci�n de la ley internacional, lo que llev� finalmente al decomiso de su infraestructura y al cierre de la operaci�n.

Solo unos meses despu�s, la banda de ransomware regres�, esta vez bajo el nombre de BlackMatter. Sin embargo, los gestores de esta operaci�n afirmaron en una entrevista que eran afiliados de la operaci�n DarkSide y no los l�deres originales.

Solo cuatro meses despu�s, BlackMatter cerr� su operaci�n en noviembre de 2021 despu�s de afirmar estar bajo presi�n de la aplicaci�n de la ley.

En febrero de 2022, la banda de ransomware regres� nuevamente, esta vez bajo el nombre de ALPHV, tambi�n conocida como BlackCat debido a una imagen utilizada en sus sitios de negociaci�n en Tor.

Si bien este rebranding comenz� como la mayor�a de las bandas de ransomware, apuntando a empresas en ataques de extorsi�n en todo el mundo, expandieron sus operaciones al asociarse con afiliados de habla inglesa y apuntar a infraestructuras cr�ticas, como hospitales y proveedores de agua.

Debido a esto, solo era cuesti�n de tiempo antes de que sintieran nuevamente el escrutinio de la aplicaci�n de la ley, ya sea por esta interrupci�n o alguna futura.

Fuente: bleepingcomputer.com