Los actores de amenazas detrás del ransomware BlackCat cerraron su sitio web oscuro y probablemente realizaron una estafa de salida después de cargar un banner falso de incautación policial.
«ALPHV/BlackCat no han sido confiscados. Están estafando a sus afiliados», afirma el investigador de seguridad Fabian Wosar dicho. «Es descaradamente obvio cuando se revisa el código fuente del nuevo aviso de eliminación».
«No hay absolutamente ninguna razón por la que las autoridades simplemente coloquen una versión guardada del aviso de eliminación durante una incautación en lugar del aviso de eliminación original».
La Agencia Nacional contra el Crimen (NCA) del Reino Unido dijo Reuters que no tenía conexión con ninguna interrupción en la infraestructura de BlackCat.
Grabado Futuro investigador de seguridad Dmitry Smilyanets al corriente capturas de pantalla en la plataforma de redes sociales X en las que los actores de BlackCat afirmaban que «los federales nos arruinaron» y que tenían la intención de vender el código fuente del ransomware por 5 millones de dólares.
El acto de desaparición se produce después de que supuestamente recibió un pago de rescate de 22 millones de dólares de la unidad Change Healthcare (Optum) de UnitedHealth y se negó a compartir las ganancias con un afiliado que había llevado a cabo el ataque.
La empresa no ha comentado sobre el supuesto pago del rescate, en cambio indicando sólo se centra en los aspectos de investigación y recuperación del incidente.
De acuerdo a Violaciones de datos, el afiliado descontento, cuya cuenta fue suspendida por el personal administrativo, hizo las acusaciones en el foro de cibercrimen RAMP. «Vaciaron la billetera y se llevaron todo el dinero», dijeron.
Esto ha generado especulaciones de que BlackCat ha organizado una estafa de salida para evadir el escrutinio y resurgir en el futuro bajo una nueva marca. «Está pendiente un cambio de marca», dijo un ahora ex administrador del grupo de ransomware.
Las fuerzas del orden confiscaron su infraestructura a BlackCat en diciembre de 2023, pero la banda de delitos electrónicos logró arrebatar el control de sus servidores y reiniciar sus operaciones sin mayores consecuencias. El grupo operaba anteriormente bajo los apodos DarkSide y BlackMatter.
«Internamente, BlackCat puede estar preocupado por los topos dentro de su grupo, y cerrar la tienda de manera preventiva podría detener un derribo antes de que ocurra», dijo Malachi Walker, asesor de seguridad de DomainTools.
«Por otro lado, esta estafa de salida podría ser simplemente una oportunidad para que BlackCat tome el efectivo y se vaya. Dado que las criptomonedas están nuevamente en su punto más alto de todos los tiempos, la pandilla puede salirse con la suya vendiendo su producto ‘alto’. En el mundo del cibercrimen, la reputación lo es todo, y BlackCat parece estar quemando puentes con sus afiliados con estas acciones».
La aparente desaparición del grupo y el abandono de su infraestructura se producen cuando el grupo de investigación de malware VX-Underground reportado que la operación del ransomware LockBit ya no es compatible con Lockbit Red (también conocido como Lockbit 2.0) y StealBit, una herramienta personalizada utilizada por el actor de amenazas para la filtración de datos.
LockBit también ha tratado de salvar las apariencias trasladando algunas de sus actividades a un nuevo portal de la web oscura después de que una operación coordinada de aplicación de la ley derribara su infraestructura el mes pasado después de una investigación de meses.
También se produce cuando Trend Micro reveló que la familia de ransomware conocida como RA World (anteriormente RA Group) se ha infiltrado con éxito en compañías de atención médica, financieras y de seguros en los EE. UU., Alemania, India, Taiwán y otros países desde que surgió en abril de 2023.
Los ataques organizados por el grupo «implican componentes de varias etapas diseñados para garantizar el máximo impacto y éxito en las operaciones del grupo», dijo la firma de ciberseguridad. anotado.