La Policía Nacional española, junto con Europol y el FBI, ha dado caza a ALPHV/ Blackcat, que estaba considerado como unos de los grupos dedicados al ransomware más activos y peligrosos de los últimos tiempos. Entre sus víctimas se encontraban todo tipo de objetivos: empresas del sector público y privado, operadores de transporte, universidades, televisiones, agencias de investigación y laboratorios técnicos.
Una vez más, la acción policial contra la ciberdelincuencia hace que podamos estar más seguros y librarnos de estos delincuentes cibernéticos que llevaba a sus espaldas más de 1.000 ataques de robo y cifrado de datos por todo el mundo. Esta compleja red, además, contactaba con afiliados a los que reclutaban para lanzar esos ataques y solicitar los posteriores rescates con los que se lucraban.
Adiós a un importante grupo cibercriminal
Gracias a esta acción llevaba a cabo entre varias unidades policiales europeas, incluida nuestra Policía Nacional, se acaba con ALPHV/Blackcat, también conocida como Noberus. La investigación se inició en enero de 2022 y durante todos estos meses desde entonces, los cuerpos agencias de seguridad especializadas en delincuencia altamente tecnificada de ocho países (Estados Unidos, Alemania, Dinamarca, Canadá, Australia, Reino Unido, Suiza y España) han seguido la pista a estos cibercriminales.
Al menos desde el año 2021 se tiene constancia de las operaciones de ALPHV/Blackcat, que en los últimos 18 meses se ha convertido en la segunda variante de ransomware como servicio más prolífica del mundo, basándose en los cientos de millones de euros en rescates pagados por las víctimas en todo el mundo. Debido a la escala global de estos crímenes, múltiples agencias policiales extranjeras estaban llevando a cabo investigaciones paralelas y acabaron por unir esfuerzos.
La peligrosidad de esta infraestructura desmantelada no solamente era una de las más peligrosas por la cantidad de víctimas, sino por su sistema de afiliados y las medidas de seguridad utilizadas por estos. Este reclutamiento de colaboradores conseguía evitar la identificación de las personas que encabezaban la organización.
Se utilizaba un modelo de ransomware como servicio en el que los desarrolladores son responsables de crear y actualizar el ransomware y de mantener la infraestructura ilegal. Los afiliados son responsables de identificar y atacar a las instituciones víctimas de alto valor con el ransomware. Después de que la víctima paga, los desarrolladores y afiliados compartían el botín del rescate.
Según el FBI, se empleaba un modelo de ataque de extorsión múltiple. «Antes de cifrar el sistema de la víctima, el afiliado filtraba o robaba datos confidenciales. Luego, el afiliado pide un rescate a cambio de descifrar el sistema de la víctima y no publicar los datos robados. Los actores de Blackcat intentaban apuntar a los datos más confidenciales del sistema de la víctima para aumentar la presión para que pagase. Los actores de Blackcat confiaban en un sitio de filtraciones disponible en la dark web para dar a conocer sus ataques. Cuando una víctima se niega a pagar un rescate, estos actores solían tomar represalias publicando datos robados en un sitio web de filtración donde estaban disponibles públicamente».
Miles de ataques ransomware por todo el mundo
Se ha cuantificado en más de 1.000 los ataques de los que ha sido responsable el ransomware ALPHV/ Blackcat, según los investigadores de ciberseguridad. Con ellos, se han obtenido unos beneficios millonarios a causa de la extorsión y el pago de rescates, efectuados en criptomonedas para ocultar rastros, con los que los organismos y empresas afectados trataban de recuperar sus datos.
Se estima que en España ha habido más de 20 víctimas afectadas. De ellas, 9 acabaron denunciando el cifrado y robo de datos ante la Unidad Central de Ciberdelincuencia, lo que ha permitido conocer detalles sobre el modus operandi y ser cruciales para seguir tirando del hilo hasta dar con los responsables.
El FBI desarrolló una herramienta de descifrado que permitió a los afectados en todo el país y a los socios encargados de hacer cumplir la ley en todo el mundo ofrecer a más de 500 víctimas afectadas la capacidad de restaurar sus sistemas. Este fue uno de los grandes pasos para acabar con los miembros detrás de estos ataques. Se estima que el desarrollo de esta contramedida ha ahorrado a las víctimas unos 61 millones de euros, al cambio, en pago de rescates.
