Seis días antes de Navidad, el Departamento de Justicia de EE.UU. Anunciado una victoria en la lucha en curso contra el flagelo de Secuestro de datos: Una operación internacional dirigida por el FBI se había dirigido al famoso grupo de hackers conocido como BlackCat o AlphV, liberando claves de descifrado para frustrar sus intentos de rescate contra cientos de víctimas y apoderándose de los sitios web oscuros que había utilizado para amenazarlas y extorsionarlas. «Al desbaratar el grupo de ransomware BlackCat, el Departamento de Justicia ha vuelto a hackear a los piratas informáticos», declaró la fiscal general adjunta Lisa Monaco en una declaración.
Sin embargo, dos meses y una semana después, esos piratas informáticos no parecen particularmente «perturbados». Durante los últimos siete días y contando, BlackCat ha mantenido como rehén a la empresa médica Change Healthcare, paralizando su software en hospitales y farmacias de todo Estados Unidos, lo que ha provocado retrasos en las recetas de medicamentos para un número incalculable de pacientes.
La interrupción actual en Change Healthcare, reportado por primera vez ser un ataque de BlackCat según Reuters, representa un incidente particularmente sombrío en la epidemia de ransomware, no solo por su gravedad, su duración y el costo potencial para la salud de las víctimas. Los analistas de seguimiento de ransomware dicen que también ilustra cómo incluso las victorias de las fuerzas del orden contra los grupos de ransomware parecen ser cada vez más efímeras, ya que los piratas informáticos a los que las fuerzas del orden atacan en redadas cuidadosamente coordinadas simplemente reconstruyen y reinician sus ataques con impunidad.
«Como no podemos arrestar a los principales operadores que se encuentran en Rusia o en áreas que no cooperan con las fuerzas del orden, no podemos detenerlos», dice Allan Liska, un investigador centrado en ransomware de la firma de ciberseguridad Recorded Future. En cambio, dice Liska, las fuerzas del orden a menudo han tenido que conformarse con pasar meses o años organizando derribos que tienen como objetivo la infraestructura o ayudan a las víctimas, pero sin echar mano a los perpetradores de los ataques. «Los actores de la amenaza sólo necesitan reagruparse, emborracharse durante un fin de semana y luego empezar de nuevo», dice Liska.
En otra redada más reciente, la Agencia Nacional contra el Crimen del Reino Unido la semana pasada lideró un amplio esfuerzo de eliminación contra el notorio grupo de ransomware Lockbit, secuestrando su infraestructura, confiscando muchas de sus billeteras de criptomonedas, eliminando sus sitios web oscuros e incluso obteniendo información sobre sus operadores y socios. Sin embargo, menos de una semana después, Lockbit ya lanzó un nuevo sitio web oscuro donde continúa extorsionando a sus víctimas, mostrando temporizadores de cuenta regresiva para cada una que indican los días u horas restantes antes de que descargue sus datos robados en línea.
Nada de eso significa que las operaciones BlackCat o Lockbit de las fuerzas del orden no hayan tenido algún efecto. BlackCat enumeró 28 víctimas en su sitio web oscuro hasta el momento en febrero, una caída significativa de las más de 60 Recorded Future contadas en su sitio en diciembre antes del desmantelamiento del FBI. (Change Healthcare no figura actualmente entre las víctimas actuales de BlackCat en su sitio, aunque, según se informa, los piratas informáticos se atribuyó el mérito del ataque, según el sitio de seguimiento de ransomware Breaches.net. Change Healthcare tampoco respondió a la solicitud de WIRED de comentar sobre el ciberataque).
Lockbit, por su parte, puede estar ocultando el alcance de su interrupción detrás de las fanfarronadas de su nuevo sitio de filtración, argumenta Brett Callow, analista de ransomware de la firma de seguridad Emsisoft. Dice que es probable que el grupo esté restando importancia a la redada de la semana pasada en parte para evitar perder la confianza de sus socios afiliados, los piratas informáticos que penetran en las redes de víctimas en nombre de Lockbit y que podrían asustarse ante la posibilidad de que Lockbit haya sido comprometido por las fuerzas del orden.