La historia de Blackcat, el grupo de ciberatacantes que secuestraba datos en todo el mundo

Antes de su desarticulación, el grupo de ransomware ALPHV, también conocido como BlackCat, logró posicionarse como una de las agrupaciones de cibercriminales más activas en el mundo, debido a que su principal objetivo fueron grandes organizaciones de diferentes sectores como lo son la construcción, la energía, las finanzas, logística, manufactura, farmacéutica, comercio minorista y tecnología.

De hecho, desde diciembre de 2021, cuando el grupo empezó a implementar una modalidad de ataque conocida bajo el nombre de ransomware como servicio (RaaS), se reportó la afectación de más de 1.000 redes informáticas en diversas partes del mundo, cuyos propietarios fueron extorsionados con millonarias sumas para rescatar los datos.

Este tipo de ofensiva se caracterizaba por estar específicamente dirigida a objetivos ya perfilados, por lo que la construcción de variantes de malware eran específicas para cada caso de uso, así como las técnicas durante la infección.

Aunque es importante destacar que en esta modalidad, BlackCat se responsabilizaba del desarrollo del software nocivo y de las negociaciones con las víctimas, mientras facilitaba la infraestructura necesaria a sus afiliados criminales para la intrusión en las redes corporativas.

En otras palabras, el grupo accedía a estas redes empresariales y se movía lateralmente para cifrar sistemas críticos sin ser detectados, explotando los eslabones más vulnerables que son los dispositivos conectados.

Y tras violar las defensas iniciales, sus aliados lanzaban una ola de ataques contra cuentas administrativas internas para propagar el ransomware BlackCat.

Tras el éxito de una infiltración, los delincuentes sustraían información confidencial antes de cifrar los sistemas, paralizando las operaciones de sus víctimas y exigiendo rescates para la entrega de las claves de descifrado y la no divulgación de los datos obtenidos.

En caso de no recibir el pago, optaban por bloquear el acceso a los sistemas y filtrar la información en la dark web.

Las víctimas de BlakCat

La lista de ataques atribuidos a BlackCat incluye a importantes organizaciones y empresas tanto americanas como europeas, abarcando sectores como MGM Resorts, Caesars Entertainment; además de infraestructura crítica de EE. UU., así como un grupo hospitalario significativo en el Reino Unido y empresas en el sector energético.

Los miembros de BlackCat también han destacado por tácticas innovadoras como denunciar a empresas comprometidas ante la Comisión de Bolsa y Valores por no informar sobre las brechas de seguridad.

Una de las víctimas más recientes de BlackCat fue el agregador de contenido y buscador de noticias, Reddit, al que le exigían un pagar un rescate de 4,5 millones de dólares, para no publicar 80 Gbytes de datos comprimidos y confidenciales robados

Antes de lanzar la ofensiva, esta estuvo precedida por una ataque de phishing contra uno solo de sus empleados, el cual fue suficiente para conseguir acceso a los sistemas, documentos internos, código fuente, datos de empleados y de anunciantes.

La compañía reconoció la violación, aunque limitó su alcance y descartó que hubieran afectado a los sistemas de producción, las contraseñas de los usuarios, las cuentas o la información de las tarjetas de crédito.

El FBI anuncia el desmantelamiento de Blackcat

En un esfuerzo coordinado, el FBI creó una herramienta de descifrado que fue distribuida entre más de 500 víctimas de BlackCat, para que pudieran liberar sus sistemas.

La mencionada herramienta permitió a los afectados, incluidos empresarios y entidades educativas, restablecer sus operaciones sin ceder a las exigencias económicas de los hackers.

Lo que resultó en el ahorro de aproximadamente 68 millones de dólares en pagos de rescate.

Además, el FBI logró infiltrarse en la infraestructura de la red de BlackCat, tomando control de varios de sus sitios web.

Ante estos hechos, el Departamento de Justicia mantiene su postura de perseverar en la investigación y persecución de los responsables, según palabras de la fiscal general adjunta interina, Nicole M. Argentieri.