FBI desmantela operação do ransomware Blackcat e cria ferramenta de descriptografia

By | 21/12/2023

O FBI violou com sucesso os servidores da operação de ransomware Blackcat para monitorar suas atividades e obter chaves de descriptografia. Em 7 de dezembro, o BleepingComputer relatou pela primeira vez que os sites do ransomware pararam de funcionar repentinamente, incluindo a gangue de ransomware Sites de negociação Tor e vazamento de dados.

Ransomware Blackcat é demantelado e o FBI criou ferramenta de descriptografia

Embora o administrador do ransomware alegasse que era um problema de hospedagem, o BleepingComputer descobriu que estava relacionado a uma operação policial. Agora, o Departamento de Justiça confirmou nossa reportagem, afirmando que o FBI conduziu uma operação de aplicação da lei que lhes permitiu obter acesso a infraestrutura do Blackcat.

Com esse acesso, o FBI monitorou silenciosamente a operação do ransomware durante meses enquanto desviava as chaves de descriptografia. Essas chaves de descriptografia permitiram que o FBI ajudasse 500 vítimas a recuperar seus arquivos gratuitamente.

Além disso, o FBI apreendeu o domínio do site de vazamento de dados do ransomware, que agora exibe um banner informando que foi apreendido em uma operação internacional de aplicação da lei. De acordo com o FBI, eles apreenderam o site depois de obter os pares de chaves públicas e privadas dos serviços ocultos do Tor sob os quais o site operava, permitindo-lhes assumir o controle dos URLs.

“Durante esta investigação, as autoridades policiais ganharam visibilidade na rede do Blackcat Ransomware Group,” lê um mandado de busca e apreensão não lacrado.

Como resultado, o FBI identificou e coletou 946 pares de chaves públicas/privadas para sites Tor que o Blackcat Ransomware Group usou para hospedar sites de comunicação de vítimas, sites de vazamento e painéis afiliados como os descritos acima.

O FBI salvou esses pares de chaves pública/privada no Flash Drive.

fbi-desmantela-operacao-do-ransomware-blackcat-e-cria-ferramenta-de-descriptografia

A mensagem de apreensão afirma que a operação de aplicação da lei foi conduzida pela polícia e agências de investigação dos EUA, Europol, Dinamarca, Alemanha, Reino Unido, Holanda, Alemanha, Austrália, Espanha e Áustria.

Desde a interrupção dos servidores do Blackcat, os afiliados vêm perdendo a confiança na operação, com o BleepingComputer descobrindo que têm entrado em contato com as vítimas diretamente por e-mail, em vez de usar o site de negociação Tor da gangue.

Isto provavelmente se deveu ao fato de os atores da ameaça acreditarem que a infraestrutura do ransomware havia sido comprometida pelas autoridades policiais, colocando-os em risco caso a utilizassem.

Com a chave de criptografia fornecida, milhares de vítimas podem recuperar seus arquivos sem pagar um resgate.

(LinuxSU)