BlackCat de Schrödinger desaparece junto con 22 millones de dólares
El grupo de ransomware ALPHV/BlackCat ha cesado sus operaciones tras haber recibido, supuestamente, un pago de 22 millones de dólares de la empresa de servicios tecnológicos del sector salud Change Healthcare, que fue víctima de un ataque perpetrado por el grupo a finales del mes de febrero.
La página de la dark web de la banda de ransomware muestra que el sitio ha sido intervenido por el FBI en una colaboración conjunta con otras fuerzas de seguridad.
Pero existen múltiples indicios de que se trata de un montaje y de que los cabecillas del grupo han decidido huir con el dinero del rescate estafando a sus propios afiliados.
En una publicación en Ramp, un foro de habla rusa dedicado al ransomware, un afiliado de la banda con el usuario “Notchy” explica que la víctima había realizado el pago de 22 millones de dólares (350 bitcoin), que ALPHV les había estado dando largas para pagarles su comisión y que finalmente el wallet que contenía el pago había sido vaciado.
Lo que es peor, este afiliado afirma que siguen en posesión de los datos sustraídos durante el ataque y publica un listado de todos los socios de Change Healthcare afectados y de los que poseen datos sensibles.
El usuario “Ransom”, en representación de ALPHV, respondía que el grupo había dado por concluida su operación por culpa de los federales y que estaba en negociaciones para vender el código fuente del software usado en sus ataques.
El experto en ransomware Fabian Wosar publicaba en twitter un hilo advirtiendo no solo de que la página de takedown en el sitio web de la banda es falsa (aunque en estos momentos el código fuente ha sido modificado y no concuerda con el mostrado en la captura del tuit). Sino de que además sus contactos en Europol y la NCA de Reino Unido niegan que se haya producido esa supuesta operación contra ALPHV.
Todo parece indicar que la banda ha decidido realizar lo que se conoce como “exit scam”, es decir, dar cerrojazo a su operación con un último fraude a sus propios afiliados aprovechando el pago por parte de Change Healthcare, que ahora se ve sin el dinero del rescate y con sus datos aún en manos de un agente malicioso.
Fuentes y más información:
- https://krebsonsecurity.com/2024/03/blackcat-ransomware-group-implodes-after-apparent-22m-ransom-payment-by-change-healthcare/
- https://www.bleepingcomputer.com/news/security/blackcat-ransomware-shuts-down-in-exit-scam-blames-the-feds/
- https://www.bleepingcomputer.com/news/security/unitedhealth-subsidiary-optum-hack-linked-to-blackcat-ransomware/
- https://twitter.com/g0njxa/status/1765270232828899747
