Il Dipartimento di Giustizia degli Stati Uniti ha annunciato che l’FBI ha violato con successo i server dell’operazione ransomware ALPHV, meglio conosciuta come BlackCat, per monitorare le loro attività e ottenere le chiavi di decrittazione.
Dettagli dell’Operazione dell’FBI
Il 7 dicembre, Matrice digitale ha riportato che i siti web di ALPHV/BlackCat, inclusi i siti di negoziazione e di divulgazione dei dati del ransomware, avevano smesso di funzionare improvvisamente. Mentre l’amministratore di ALPHV sosteneva che si trattasse di un problema di hosting, BleepingComputer ha scoperto che era legato a un’operazione delle forze dell’ordine. L’FBI ha condotto un’operazione che le ha permesso di accedere all’infrastruttura di ALPHV.
Risultati dell’Operazione
Con questo accesso, l’FBI ha monitorato silenziosamente l’operazione ransomware per mesi, sottraendo le chiavi di decrittazione. Queste chiavi hanno permesso all’FBI di aiutare circa 500 vittime a recuperare i loro file gratuitamente, risparmiando circa 68 milioni di dollari in richieste di riscatto. Inoltre, l’FBI ha sequestrato il dominio del sito di divulgazione dei dati di ALPHV, che ora mostra un banner che indica il sequestro in un’operazione delle forze dell’ordine internazionali.
Impatto sull’Operazione Ransomware
Da quando i server di Blackcat ALPHV sono stati interrotti dall’FBI, gli affiliati hanno iniziato a perdere fiducia nell’operazione, contattando direttamente le vittime tramite email anziché utilizzare il sito di negoziazione Tor del gruppo. Questo è probabilmente dovuto alla convinzione che l’infrastruttura di ALPHV fosse stata compromessa dalle forze dell’ordine, mettendo a rischio gli attori della minaccia se l’avessero utilizzata.