El FBI ofrece una herramienta de descifrado a más de 500 víctimas en todo el mundo y se anima a otras víctimas a presentarse.
El Departamento de Justicia anunció hoy una campaña de interrupción contra el grupo de ransomware Blackcat, también conocido como ALPHV o Noberus, que se ha dirigido a las redes informáticas de más de 1.000 víctimas y ha causado daños en todo el mundo desde su creación, incluidas las redes que respaldan la infraestructura crítica de Estados Unidos.
Durante los últimos 18 meses, ALPHV/Blackcat se ha convertido en la segunda variante de ransomware como servicio más prolífica del mundo, basándose en los cientos de millones de dólares en rescates pagados por las víctimas en todo el mundo. Debido a la escala global de estos crímenes, múltiples agencias policiales extranjeras están llevando a cabo investigaciones paralelas.
El FBI desarrolló una herramienta de descifrado que permitió a las oficinas de campo del FBI en todo el país y a los socios encargados de hacer cumplir la ley en todo el mundo ofrecer a más de 500 víctimas afectadas la capacidad de restaurar sus sistemas.
Hasta la fecha, el FBI ha trabajado con decenas de víctimas en los Estados Unidos e internacionalmente para implementar esta solución salvando a múltiples víctimas de demandas de rescate por un total aproximado de 68 millones de dólares. Como se detalla en una orden de registro revelada hoy en el Distrito Sur de Florida, el FBI también obtuvo visibilidad de la red informática del grupo de ransomware Blackcat como parte de la investigación y confiscó varios sitios web que operaba el grupo.
“Al desbaratar el grupo de ransomware BlackCat, el Departamento de Justicia ha vuelto a atacar a los piratas informáticos”, dijo la Fiscal General Adjunta Lisa O. Monaco. “Con una herramienta de descifrado proporcionada por el FBI a cientos de víctimas de ransomware en todo el mundo, las empresas y las escuelas pudieron reabrir. y los servicios de atención médica y de emergencia pudieron volver a estar en línea.
Continuaremos dando prioridad a las interrupciones y colocando a las víctimas en el centro de nuestra estrategia para desmantelar el ecosistema que alimenta el ciberdelito”.
“El FBI sigue siendo implacable a la hora de llevar a los ciberdelincuentes ante la justicia y decidido en sus esfuerzos por derrotar e interrumpir las campañas de ransomware dirigidas a infraestructuras críticas, el sector privado y más allá”, dijo el subdirector del FBI, Paul Abbate.
“Ayudar a las víctimas de delitos es la máxima prioridad del FBI y se refleja aquí en la provisión de herramientas para ayudar a las víctimas a descifrar redes y sistemas comprometidos. El FBI continuará persiguiendo agresivamente a estos actores criminales dondequiera que intenten esconderse y garantizará que sean llevados ante la justicia y responsables ante la ley.
.”
“En el Departamento de Justicia, damos prioridad a la seguridad de las víctimas”, dijo la Fiscal General Adjunta Interina Nicole M. Argentieri de la División Penal del Departamento de Justicia. “En este caso, agentes y fiscales trabajaron incansablemente para restablecer las redes de víctimas, pero estas acciones no son la culminación de nuestros esfuerzos, son solo el comienzo. Los actores criminales deben ser conscientes de que el anuncio de hoy es sólo una parte de este esfuerzo en curso. En el futuro, continuaremos nuestra investigación y perseguiremos a quienes están detrás de Blackcat hasta que sean llevados ante la justicia”.
“El anuncio de hoy destaca la capacidad del Departamento de Justicia para enfrentarse incluso a los ciberdelincuentes más sofisticados y prolíficos”, dijo el fiscal federal Markenzy Lapointe para el Distrito Sur de Florida.
“Como resultado de los incansables esfuerzos de nuestra oficina, junto con el FBI de Miami, el Servicio Secreto de los EE. UU. y nuestros socios policiales extranjeros, hemos brindado a las víctimas de Blackcat, en el Distrito Sur de Florida y en todo el mundo, la oportunidad de recuperarse y fortalecer sus defensas digitales. Continuaremos enfocándonos en responsabilizar a las personas detrás del grupo de ransomware Blackcat por sus crímenes”.
Según la orden abierta,los actores de Blackcat han comprometido redes informáticas en Estados Unidos y en todo el mundo. Las interrupciones causadas por la variante de ransomware han afectado la infraestructura crítica de EE. UU., incluidas instalaciones gubernamentales, servicios de emergencia, empresas industriales de defensa, fabricación crítica, e instalaciones de atención médica y de salud pública, así como otras corporaciones, entidades gubernamentales y escuelas.
El monto de las pérdidas a nivel mundial asciende a cientos de millones e incluye pagos de rescate, destrucción y robo de datos propietarios y costos asociados con la respuesta a incidentes.
Blackcat utiliza un ransomware como un modelo de servicio en el que los desarrolladores son responsables de crear y actualizar ransomware y de mantener la infraestructura ilícita de Internet. Los afiliados son responsables de identificar y atacar a las instituciones víctimas de alto valor con el ransomware. Después de que la víctima paga, los desarrolladores y afiliados comparten el rescate.
Los actores de Blackcat emplean un modelo de ataque de extorsión múltiple. Antes de cifrar el sistema de la víctima, el afiliado filtrará o robará datos confidenciales. Luego, el afiliado pide un rescate a cambio de descifrar el sistema de la víctima y no publicar los datos robados.
Los actores de Blackcat intentan apuntar a los datos más confidenciales del sistema de la víctima para aumentar la presión para que pague. Los actores de Blackcat confían en un sitio de filtraciones disponible en la web oscura para dar a conocer sus ataques. Cuando una víctima se niega a pagar un rescate,
Estos actores comúnmente toman represalias publicando datos robados en un sitio web de filtración donde estarán disponibles públicamente.
La oficina local del FBI en Miami está liderando la investigación, los abogados litigantes Christen Gallagher y Jorge González de la Sección de Delitos Informáticos y Propiedad Intelectual de la División Penal y el Asistente del Departamento de Justicia de los EE.UU.Los abogados Kiran Bhat y Brooke Watson del Distrito Sur de Florida están a cargo del caso.
El Departamento de Justicia también reconoce la cooperación crítica del Bundeskriminalamt y Zentrale Kriminalinspektion Göttingen de Alemania, la Unidad Especial contra el Crimen de Dinamarca y Europol. Estados Unidos proporcionó una ayuda significativa, Servicio Secreto y la Fiscalía Federal para el Distrito Este de Virginia.
La Oficina de Asuntos Internacionales del Departamento de Justicia y el Enlace Internacional de Operaciones Cibernéticas también brindaron una asistencia significativa.
Además,las siguientes autoridades extranjeras encargadas de hacer cumplir la ley brindaron asistencia y apoyo sustanciales: la Policía Federal Australiana, la Agencia Nacional contra el Crimen y la Unidad de Operaciones Especiales de la Región Oriental del Reino Unido, la Policía Nacional de España, la Kantonspolizei Thurgau de Suiza y la Dirección del Servicio de Inteligencia y Protección del Estado de Austria.
Se recomienda encarecidamente a las víctimas del ransomware Blackcat que se comuniquen con su oficina local del FBI en www.fbi.gov/contact-us/field-offices para obtener más información y determinar qué asistencia puede estar disponible.
Los afiliados de Blackcat han obtenido acceso inicial a las redes de víctimas a través de varios métodos, incluido el aprovechamiento de las credenciales de usuario comprometidas para obtener acceso inicial al sistema víctima. El FBI puede obtener más información sobre el malware, incluida información técnica sobre indicadores de compromiso y recomendaciones para mitigar sus efectos, en www.ic3.gov/Media/News/2022/220420.pdf.
Información adicional sobre la investigación en curso de las autoridades sobre Blackcat está disponible en www.justice.gov/media/1329536/dl?inline.
Si tiene información sobre Blackcat, sus afiliados o actividades, puede ser elegible para recibir una recompensa a través del programa Recompensas por la Justicia del Departamento de Estado.
La información se puede enviar a través de la siguiente línea de sugerencias basada en Tor (se requiere el navegador Tor):he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion.
Para obtener más información sobre las recompensas por información sobre actividad cibernética maliciosa extranjera contra infraestructura crítica de EE. UU., visite https://rfj.tips/SDT55f.
