Pesquisadores de segurança emitiram comunicado alertando que a operação de ransomware Alphy — também conhecida por BlackCat — parece ser uma retomada do BlackMatter, a nova denominação adotada pelo notório grupo hacker DarkSide, que ser tornou alvo de uma “grande caçada” por parte da polícia internacional e do governo dos Estados Unidos após o ataque a Colonial Pipeline, dona do maior oleoduto de combustíveis da costa leste americana. “Embora o Alphy afirme ser ex-afiliado do BlackMatter/DarkSide, é mais provável que seja um novo cognome do mesmo grupo, em uma tentativa de se distanciar dessa marca devido ao impacto na que sofreu depois de ter sido acusado de prejudicar seus afiliados que perderam vários milhões de dólares”, disse Brett Callow, analista de ameaças da empresa de segurança Emsisoft, em um tuíte recente.
O apelido BlackCat foi dado à operação de ransomware pelos pesquisadores de segurança conhecidos como MalwareHunterTeam em dezembro, depois de detectarem ataques do grupo até então sem nome, que começou a operar em novembro do ano passado.
Como em suas versões anteriores, o Alphy/BlackCat usa o modelo de negócio de ransomware como serviço (RaaS), no qual operadores ou administradores criam e mantêm o ransomware. Parceiros de negócios pré-aprovados, também conhecidos como afiliados, baixam uma versão personalizada do malware de criptografia por meio de um portal baseado em Tor e a usam para infectar as vítimas. Aos afiliados parece ter sido prometido um repasse de 80% a 90% de cada resgate pago, com o restante indo para os operadores [o que parece que não foi cumprido]”, diz a equipe de inteligência de ameaças da Unit 42 da Palo Alto Networks.
Mas uns erros fundamentais do grupo, indiscutivelmente, foi o ataque em maio de 2021 à Colonial Pipeline, o que provocou uma tempestade política. Embora os operadores tenham ficam substancialmente mais ricos, já que a Colonial teria pagado US$ 4,4 milhões em troca de um decodificador. O FBI, no entanto, conseguiu recuperar US$ 2,3 milhões do pagamento do resgate, possivelmente porque a agência obteve acesso a uma carteira para a qual a parte de um afiliado havia sido transferida.
Veja isso
Ransomware DarkSide retoma operações como BlackMatter
Como age e quais são as ramificações do grupo hacker DarkSide
Esse e outros ataques levaram o presidente dos EUA, Joe Biden, a emitir um ultimato ao presidente russo, Vladimir Putin: a menos que Moscou fizesse mais para reprimir os grupos de ransomware que operam dentro da Rússia, Washington se reservava o direito de atacá-los diretamente. Talvez sentindo a pressão, DarkSide saiu de cena logo depois, assim como o rival REvil, também conhecido como Sodinokibi. Mas o DarkSide foi rapidamente relançado como BlackMatter em julho de 2021.
“Após o relançamento, o BlackMatter introduziu uma mudança em sua carga útil de ransomware que nos permitiu mais uma vez recuperar os dados das vítimas sem a necessidade de pagar o resgate”, escreveu o CTO da Emsisoft, Fabian Wosar, em um post no blog da empresa em outubro do passado. Wosar conta que “assim que sua equipe tomou conhecimento do erro da gangue, silenciosamente entrou em contato com seus parceiros, que ajudaram a alcançar o maior número possível de vítimas antes de pagarem o resgate do BlackMatter”.
Em resposta, o DarkSide/BlackMatter parece ter demitido sua equipe de desenvolvimento e contratado uma nova, ficando inativo em novembro antes de retomar as atividades no final daquele mês como Alphy, também conhecido como BlackCat, o que obviamente é negado pelos hackers, embora existam extensas evidências de que o novo cognome seja um mero rebrand do DarkSide.