Atualização adicionada abaixo sobre a desativação do site de vazamento de dados e uma mensagem da gangue de ransomware.
O Departamento de Justiça anunciou hoje que o FBI violou com sucesso os servidores da operação de ransomware ALPHV para monitorar suas atividades e obter chaves de descriptografia.
Em 7 de dezembro, o BleepingComputer relatou pela primeira vez que os sites ALPHV, também conhecidos como BlackCat, pararam de funcionar repentinamente, incluindo os sites de negociação Tor e vazamento de dados da gangue de ransomware.
Embora o administrador do ALPHV alegasse que era um problema de hospedagem, o BleepingComputer descobriu que estava relacionado a uma operação policial.
Hoje, o Departamento de Justiça confirmou nossa reportagem, afirmando que o FBI conduziu uma operação de aplicação da lei que lhes permitiu obter acesso à infraestrutura do ALPHV.
Com esse acesso, o FBI monitorou silenciosamente a operação do ransomware durante meses enquanto desviava as chaves de descriptografia. Essas chaves de descriptografia permitiram que o FBI ajudasse 500 vítimas a recuperar seus arquivos gratuitamente, economizando aproximadamente US$ 68 milhões em pedidos de resgate.
Além disso, o FBI apreendeu o domínio do site de vazamento de dados do ALPHV, que agora exibe um banner informando que foi apreendido em uma operação internacional de aplicação da lei.
O FBI afirma que apreendeu o site depois de obter os pares de chaves públicas e privadas dos serviços ocultos do Tor sob os quais o site operava, permitindo-lhes assumir o controle dos URLs.
"Durante esta investigação, as autoridades policiais ganharam visibilidade na rede do Blackcat Ransomware Group", diz um mandado de busca e apreensão não selado.
“Como resultado, o FBI identificou e coletou 946 pares de chaves públicas/privadas para sites Tor que o Blackcat Ransomware Group usou para hospedar sites de comunicação de vítimas, sites de vazamento e painéis afiliados como os descritos acima.”
"O FBI salvou esses pares de chaves pública/privada no Flash Drive."
Mensagem de apreensão do FBI no site de vazamento de dados ALPHVFonte: BleepingComputer.com
A mensagem de apreensão afirma que a operação de aplicação da lei foi conduzida pela polícia e agências de investigação dos EUA, Europol, Dinamarca, Alemanha, Reino Unido, Holanda, Alemanha, Austrália, Espanha e Áustria.
“O Federal Bureau of Investigation apreendeu este site como parte de uma ação coordenada de aplicação da lei tomada contra o ransomware ALPHV BlackCat”, diz a mensagem de apreensão.
"Esta ação foi tomada em coordenação com o Gabinete do Procurador dos Estados Unidos para o Distrito Sul da Flórida e a Seção de Crimes Informáticos e Propriedade Intelectual do Departamento de Justiça, com assistência substancial da Europol e da Zentrale Kriminalinspektion Guttingen."
Desde a interrupção dos servidores do ALPHV, os afiliados vêm perdendo a confiança na operação, com o BleepingComputer descobrindo que têm entrado em contato com as vítimas diretamente por e-mail, em vez de usar o site de negociação Tor da gangue.
Isto provavelmente se deveu ao fato de os atores da ameaça acreditarem que a infraestrutura do ALPHV havia sido comprometida pelas autoridades policiais, colocando-os em risco caso a utilizassem.
A operação de ransomware LockBit também viu essa interrupção como um presente de Natal antecipado, dizendo aos afiliados que eles podem passar para sua operação para continuar negociando com as vítimas.
Uma terceira violação por parte da aplicação da lei
Esta operação de ransomware operou sob vários nomes ao longo dos anos e sempre foi violada pelas autoridades.
Eles inicialmente foram lançados como DarkSide em agosto de 2020 e depois encerrados em maio de 2021, depois de enfrentar intensa pressão de operações policiais causadas pelo amplamente divulgado ataque da gangue ao Colonial Pipeline.
A operação de ransomware mais tarde retornou como BlackMatter em 31 de julho, mas, mais uma vez, encerrou em novembro de 2021 depois que a Emsisoft explorou um ponto fraco para criar um descriptografador e os servidores foram apreendidos.
A gangue voltou em novembro de 2021, desta vez sob o nome de BlackCat/ALPHV. Desde então, a gangue de ransomware desenvolveu constantemente suas táticas de extorsão e adotou a abordagem incomum de parceria com afiliados que falam inglês.
No entanto, a gangue de ransomware tornou-se cada vez mais tóxica no último ano, postando fotos nuas de dados roubados e chamando agressivamente as vítimas, colocando-as firmemente na mira das autoridades policiais.
Como vimos no passado, devido a esta operação, não seria surpreendente ver a gangue de ransomware mudar de nome novamente com um nome diferente.
BlackCat “desaproveita” site de vazamento de dados
Na tarde de terça-feira, a operação de ransomware “desaproveitou” o site de vazamento de dados para recuperar o controle da URL e alegou que o FBI obteve acesso a um data center que estava usando para hospedar servidores.
Como tanto os operadores do ALPHV quanto o FBI agora controlam as chaves privadas usadas para registrar a URL cebola do site de vazamento de dados no Tor, eles podem ir e voltar, apreendendo a URL uns dos outros, o que tem sido feito ao longo do dia.
Site de vazamento de dados BlackCat "não apreendido"Fonte: BleepingComputer
Como parte da mensagem de não apreensão do ALPHV, a gangue anunciou o lançamento de um novo URL Tor para seu site de vazamento de dados, para o qual o FBI não possui as chaves privadas e, portanto, não pode apreender. BleepingComputer redigiu propositalmente este URL da imagem acima.
A gangue de ransomware alegou que o FBI só obteve acesso às chaves de descriptografia no último mês e meio, ou seja, cerca de 400 empresas. No entanto, eles disseram que outras 3.000 vítimas perderão suas chaves.
A operação também disse que está removendo todas as restrições de suas afiliadas, permitindo-lhes atingir qualquer organização que desejarem, incluindo infraestrutura crítica. Os afiliados ainda estão proibidos de atacar países da Comunidade de Estados Independentes (CEI), que anteriormente faziam parte da União Soviética.
Por fim, a operação de ransomware aumentou a participação nas receitas dos afiliados para 90% de um resgate pago, o que provavelmente os convencerá a mudar para um ransomware como serviço concorrente.
A declaração completa traduzida automaticamente é compartilhada abaixo:
“Como todos sabem, o FBI conseguiu as chaves do nosso blog, agora vamos contar como foi.
Primeiro, como tudo aconteceu, após examinarmos seus documentos, entendemos que eles tiveram acesso a um dos DC, pois todos os outros DC estavam intactos, acontece que de alguma forma eles hackearam um de nossos hosters, talvez até ele mesmo os tenha ajudado .
O máximo que eles têm são as chaves do último mês e meio, são cerca de 400 empresas, mas agora mais de 3.000 empresas nunca receberão suas chaves por causa delas.
Por causa de suas ações, estamos introduzindo novas regras, ou melhor, removendo TODAS as regras, exceto uma, você não pode tocar no CIS, agora você pode bloquear hospitais, usinas nucleares, qualquer coisa e em qualquer lugar.
A taxa agora é de 90% para todos os anúncios.
Não damos descontos a empresas, o pagamento é estritamente no valor que especificamos.
Os anunciantes VIP recebem seu programa de afiliados privado, que levantamos apenas para eles, em um CD separado, completamente isolado um do outro.
Obrigado pela sua experiência, levaremos em consideração nossos erros e trabalharemos ainda mais, aguardando suas reclamações em chats e pedidos para fazer descontos que não existem mais."
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/fbi-disrupts-blackcat-ransomware-operation-creates-decryption-tool/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #fbi #interrompe #operação #do #ransomware #blackcat #e #cria #ferramenta #de #descriptografia
Postar um comentário