Il Dipartimento di Giustizia degli Stati Uniti ha confermato quanto ipotizzato all’inizio del mese. L’FBI e le forze dell’ordine di Regno Unito, Danimarca, Germania, Spagna, Australia, Austria e Svizzera hanno sequestrato diversi siti gestiti dal gruppo BlackCat/ALPHV, tra cui quelli usati per la negoziazione dei riscatti e la pubblicazione dei dati rubati.
Disponibile anche il decryptor dei file
Il Dipartimento di Giustizia scrive che, negli ultimi 18 mesi, BlackCat era diventato il secondo RaaS (Ransomware-as-a-Service) più prolifico nel mondo, considerato che i cybercriminali sono riusciti ad ottenere riscatti per centinaia di milioni di dollari. Tra le oltre 1.000 vittime ci sono anche aziende che gestiscono infrastrutture critiche negli Stati Uniti.
Il modello RaaS prevede vari livelli gerarchici. Gli sviluppatori creano/aggiornano il ransomware e gestiscono l’infrastruttura. Gli affiliati scelgono le vittime ed effettuano gli attacchi. L’eventuale riscatto viene quindi suddiviso in percentuale. BlackCat esfiltra i dati prima di cifrarli e chiedere il riscatto. Se non verrà pagata la somma concordata, i dati vengono pubblicati online seguendo la classica doppia estorsione.
Recentemente i cybercriminali hanno usato un tattica più aggressiva per convincere la vittima a pagare il riscatto. All’inizio di novembre, BlackCat ha inviato una segnalazione alla SEC (Securities and Exchange Commission) degli Stati Uniti per denunciare MeridianLink, in quanto non aveva comunicato il data breach entro quattro giorni, come previsto dalle norme in vigore.
Gli esperti dell’FBI sono riusciti ad entrare nella rete interna del gruppo e a trovare 946 coppie di chiavi pubbliche/private dei siti Tor usati per la negoziazione dei riscatti e la pubblicazione dei dati rubati. Dopo aver monitorato le loro attività, gli agenti hanno intercettato anche le chiavi per la decifrazione dei file. Ciò ha permesso di sviluppare un decryptor che oltre 500 vittime hanno usato per accedere nuovamente ai file, evitando di pagare circa 68 milioni di dollari.
Il gruppo BlackCat era attivo da circa due anni, come erede di BlackMatter, a sua volta erede di DarkSide. È quasi certo che tornerà in attività con un altro nome.