Identificată drept ALPHV/BlackCat și localizată în Rusia, aceasta este a doua cea mai prolifică operațiune ransomware din lume, specializată în atacuri îndreptate împotriva companiilor private și alte ținte valoroase, precum instituții publice, elemente critice de infrastructură, până la centrale nucleare.
Gruparea își oferă serviciile pe website-ul găzduit în rețeaua darknet și are numeroase „colaborări” cu alte grupări de crimă organizată, business-ul funcționând prin obținerea unui comision din „câștigurile” realizate de afiliați.
Recent, agenția americană FBI a anunțat confiscarea site-ului darknet al bandei și publicarea unui instrument gratuit de decriptare, pe care sutele de companii atacate cu ransomware rusesc îl pot folosi pentru a-și recupera datele și restabili funcționarea sistemelor afectare.
Însă victoria pare că este doar una de etapă, BlackCat reușind să își recupereze pentru scurt timp site-ul său darknet, suficient pentru a afișa un mesaj adresat „clienților” săi, promițând comisioane de 90% pentru afiliații care continuă să lucreze cu gruparea criminală și ”deschiderea sezonului pentru orice, de la spitale la centrale nucleare”.
O declarație despre operațiune a Departamentului de Justiție al SUA spune că FBI a dezvoltat un instrument de decriptare care a permis birourilor de teren ale agențiilor și partenerilor la nivel global să ajute peste 500 de victime să-și repare sistemele informatice afectate.
„Cu instrumentul de decriptare oferit de FBI, sute de victime ale ransomware-ului din întreaga lume, companii și școli, au putut să se redeschidă, iar serviciile de asistență medicală și de urgență au putut reveni online”, susține procurorul general adjunct Lisa O. Monaco . „Vom continua să acordăm prioritate perturbărilor și să punem victimele în centrul strategiei noastre de a demonta ecosistemul care alimentează criminalitatea cibernetică”.
Potrivit DOJ, în cele aproximativ 18 luni de la înființare, gruparea criminală BlackCat a vizat rețelele informatice a peste 1.000 de organizații și companii. Atacurile BlackCat implică de obicei criptarea și furtul datelor; dacă victimele refuză să plătească o răscumpărare, atacatorii publică parțial sau total cele mai valoroase date sustrase pe un site darknet legat de BlackCat.
BlackCat s-a format prin recrutarea de operatori din mai multe organizații de ransomware concurente sau destructurate anterior, inclusiv REvil , BlackMatter și DarkSide. Cel din urmă grup a fost responsabil pentru atacul Colonial Pipeline din luna mai 2021, care a provocat o penurie de combustibil în SUA la nivel național și creșteri ale prețurilor.
