Blackcat derribado. La estructura del grupo criminal Alphv, también conocido como Blackcat, ha sido desmantelada esta semana en una operación internacional en la que han participado fuerzas de seguridad de varios países, incluidos agentes de la Policía Nacional. Alphv se especializaba en los conocidos ataques de ransomware, basados en el secuestro de archivos y venta de información confidencial. Era extremadamente activa y peligrosa, con más de 1.000 víctimas confirmadas en todo el mundo en menos de dos años, más de 20 de ellas en España.
Alphv es uno de los mejores ejemplos de la profesionalización del sector de los ciberataques en los últimos años. La organización había desarrollado su propio sistema de malware avanzado para infectar y bloquear los archivos de sus víctimas y contaba con una estructura central para seleccionar objetivos, un departamento de negociación de rescates y otro de cobro. Este último incluía “probablemente dinero en efectivo”, explican los investigadores de la firma de ciberseguridad rusa Kaspersky, desde donde se cree que actuaban estos ciberdelincuentes.
En la práctica, Blackcat actuaba como una multinacional con franquiciados en múltiples países. Estos se encargaban de buscar un método para infiltrar el malware de la organización en objetivos locales. Una misión que podían cumplir por su conocimiento interno de las víctimas por haber tenido alguna relación con ellas o sus sistemas informáticos, o por otros métodos como el robo de credenciales de acceso.
A cambio de ese acceso un porcentaje del rescate que la víctima pagaba por recuperar los archivos, los afiliados reclutados por Alphv podían acceder a toda la infraestructura de lanzamiento de ataques de la organización y dejar en sus manos las comunicaciones con el objetivo y el cobro. “La infraestructura desmantelada está considerada una de las más peligrosas de los últimos tiempos no sólo por la gran cantidad de víctimas afectadas a nivel global, sino también por la sofisticación de las medidas de seguridad utilizadas por sus afiliados”, detalla la Policía Nacional.
Este método es lo que permitió a la organización esquivar durante dos años a las fuerzas de seguridad mientras desataba una avalancha de ataques contra “empresas del sector público y privado, operadores de transporte, universidades, televisiones, agencias de investigación y laboratorios técnicos”, continúan los agentes. En sus primeras etapas Alphv también fue muy activo contra compañías petroleras y gasísticas de Oriente Medio, apuntan desde Kaspersky, lo que podría ser una prueba de que contó con un afiliado en la región con acceso a este sector.
Denuncia ante la SEC
Sin embargo, la maniobra de Alphv que supuso una vuelta de tuerca respecto a otras bandas de cibercrimen organizado y que da idea del profesionalismo del sector es que llegó a denunciar a una de sus víctimas ante la SEC, el regulador bursátil estadounidense.
Desde septiembre, la SEC obliga a las compañías cotizadas a informar en un máximo de cuatro días de los ciberataques que puedan afectar a sus resultados. Un secuestro de archivos por parte de Alphv sin duda puede serlo, pero la compañía de software MeridianLink sufrió uno en noviembre y no informó de él de manera pública en el período establecido. La organización cibercriminal procedió entonces a llamar la atención de la SEC sobre el incidente, sin duda como una medida de extorsión para que MeridianLink pagara.
“Queremos llamar su atención sobre una cuestión preocupante relativa al cumplimiento por parte de MeridianLink de las normas de divulgación de incidentes de ciberseguridad recientemente adoptadas. Ha llegado a nuestro conocimiento que MeridianLink, a la luz de una brecha significativa que compromete los datos de los clientes y la información operativa, no ha presentado la divulgación requerida bajo el punto 1.05 del Formulario 8-K dentro de los cuatro días hábiles estipulados, según lo dispuesto por las nuevas normas de la SEC”, rezaba la comunicación de Alphv.
La reclamación sobre MeridianLink se hizo pública en el sistema de la SEC, pero aún no se conoce si el regulador ha abierto una investigación por el retraso de la compañía. “Basándonos en nuestra investigación hasta la fecha, no hemos identificado ninguna evidencia de acceso no autorizado a nuestras plataformas de producción, y el incidente ha causado una interrupción mínima del negocio”, alegó MeridianLink en ese momento.
Antecesores y sucesores
La investigación contra Alphv se inició en enero de 2022 y ha contado con la participación de fuerzas de seguridad de ocho países bajo la coordinación de Europol. Han sido Estados Unidos, Alemania, Dinamarca, Canadá, Australia, Reino Unido, Suiza y España.
Cuando los investigadores logran tumbar uno de estos grupos, la maniobra clave es bloquear su infraestructura digital. No obstante, rara vez se producen detenciones, ya que la mayoría de integrantes de estas bandas se encuentran en países que no colaboran con esas operaciones. Uno de ellos es Rusia. Gracias a la información filtrada por un miembro renegado de una de estas bandas, la comunidad de ciberseguridad internacional pudo conocer más detalles de cómo se interrelacionan con ella las fuerzas de seguridad rusas, a veces sobornándolas y otras con el pacto de no atacar en Rusia.
El hecho de que los miembros del cibercrimen organizado sobrevivan a las caídas de su infraestructura digital hace que puedan volver con más fuerza al cabo de cierto tiempo, perpetuando el juego del ratón y el gato con los investigadores. “Blackcat se presenta como sucesor de conocidos grupos de ransomware como BlackMatter y REvil. Los ciberdelincuentes afirman que han abordado todos los errores y problemas en el desarrollo de ransomware y han creado el producto perfecto en términos de codificación e infraestructura”, destaca Kaspersky en su informe sobre ellos.
“Sin embargo, algunos investigadores ven al grupo no sólo como los sucesores de los grupos BlackMatter y REvil, sino como un completo cambio de marca. Nuestra telemetría sugiere que al menos algunos miembros del nuevo grupo BlackCat tienen vínculos con el grupo BlackMatter, porque modificaron y reutilizaron una herramienta de ex filtración personalizada que llamamos Fendr y que sólo se ha observado en la actividad de BlackMatter”, continúa.
Con la caída de Alphv se vuelve a cerrar el círculo, pero algunos analistas avisan de que es cuestión de tiempo que vuelva a abrirse debido a la impunidad con la que estos grupos pueden trabajar desde algunos territorios.