BlackCat: FBI blocca sito hacker e rilascia decryptor del ransomware

Attraverso un’operazione fulminea l’FBI è riuscita ad accedere ai server dell’infrastruttura di BlackCat, noto gruppo ransomware, bloccando i siti del gruppo.

Lo scorso 7 dicembre i siti Web gestiti dagli hacker hanno improvvisamente smesso di funzionare. Sebbene i cybercriminali abbiano affermato da subito come il tutto fosse riconducibile a problemi di hosting, in realtà il fatto era legato all’operazione delle forze dell’ordine.

La conferma è arrivata direttamente dal Dipartimento di Giustizia, che ha spiegato come l’FBI ha monitorato l’infrastruttura utilizzata per gli attacchi ransomware nel corso degli ultimi mesi, riuscendo a carpire le relative chiavi di decrittazione. L’operazione ha permesso  anche di sequestrare il dominio utilizzato da BlackCat per gestire l’esfiltrazione di dati.

L’azione degli agenti ha permesso di aiutare circa 500 vittime che, attraverso al decryptor preparato dagli esperti delle forze dell’ordine, hanno potuto recuperare i file sottratti. Nel complesso, le operazioni sventate avrebbero potuto rendere 68 milioni di dollari ai cybercriminali.

BlackCat e FBI: lo scontro è solo all’inizio

L’intervento, che si va a sommare alla recente operazione dell’Interpol che ha portato all’arresto di ben 3.500 persone, è frutto anche della collaborazione di agenzie investigative di altri paesi , come (Germania, Regno Unito, Paesi Bassi, Australia, Austria e Spagna) oltre che con l’Europol.

Nonostante gli affiliati sembrano aver preso le distanze dall’infrastruttura, avendo paura di essere coinvolti in ulteriori indagini, BlackCat non ha di certo cessato le proprie attività e, anzi, ha preparato una feroce contromossa. Il gruppo ransomware, infatti, ha affermato come l’FBI ha ottenuto accesso solo alle chiavi di decrittazione dell’ultimo mese e mezzo, con altre 3.000 vittime che sono rimaste in balia degli hacker.

Come rappresaglia nei confronti dell’agenzia americana, inoltre, i cybercriminali hanno rimosso qualunque forma di restrizione per quanto riguarda gli obiettivi accessibili propri affiliati. Di fatto, a questi è ora permesso prendere di mira qualunque tipo di organizzazione, persone e aziende ad esclusione di soggetti residenti nei paesi dell’ex Unione Sovietica.