Resumen: Hace unas semanas, un grupo de piratas informáticos rusos paralizó por completo una parte importante del sector sanitario estadounidense. El grupo ejecutó un ataque de ransomware en un sistema de gestión de atención médica a nivel nacional administrado por Optum que maneja las cuentas de los pacientes, incluido el procesamiento de pagos, pedidos de recetas y reclamaciones de seguros. Además de cifrar el sistema, AlphV afirmó haber filtrado una cantidad desconocida de datos.
La semana pasada, Optum supuestamente pagado AlphV (también conocido como Black Cat) para eliminar el ransomware y eliminar los datos robados. Aunque la empresa guardó silencio sobre el incidente, el libro mayor de Blockchain muestra siete transferencias de $3,348,114 realizadas el viernes desde la misma cuenta a siete cuentas diferentes. Menos comisiones, el depósito rondaba los 22 millones de dólares. Optum se negó a hacer comentarios cuando se le preguntó si pagaba a AlphV.
El domingo, una parte anónima aparentemente confirmó el pago de 22 millones de dólares en un foro de la web oscura. El grupo dijo que se asoció con AlphV para extraer 4 TB de datos. Sostiene además que AlphV drenó la cuenta ilícita y engañó al grupo. Por lo tanto, retuvo la información en lugar de eliminarla.
#ALPHV ¿Estafar a afiliados? $22 millones pagados y retirados pic.twitter.com/0ocKoXNLme
– �*��-‘�-��-��–�-� �*��-‘� -��-‘�-��-��-«ï¿½-��-��-� (@ddd1ms) 4 de marzo de 2024
Según el grupo, tiene «datos críticos» que a Optum le preocupaba que se filtraran, lo que lo llevó a pagar el rescate. Aunque no aclara con precisión qué contiene el caché de 4 TB, el grupo dice que pertenece a más de docenas de proveedores de atención médica y compañías de seguros, incluidos Medicare, CVS-Caremark, Loomis y Metlife.
El martes, el sitio web oscuro de AlphV comenzó a mostrar un aviso de incautación. El grupo parecía haber sido atacado por el FBI y otras agencias extranjeras. El FBI se negó a comentar sobre el derribo, lo cual no es inusual, especialmente si la operación involucra a múltiples grupos de piratas informáticos. Sin embargo, el mensaje de incautación mencionaba a la Agencia Nacional contra el Crimen del Reino Unido, que dijo que no tenía nada que ver con el desmantelamiento del grupo.
Más tarde, los investigadores que investigaron la supuesta incautación descubrieron que la página parecía haber sido copiada de otra incautación del sitio web de AlphV y pegada en la actual. La firma independiente de investigación de ransomware Emisoft confirmó que lo que el grupo anónimo había dicho el domingo era cierto.
Una URL de imagen como esta es lo que Firefox y el navegador Tor crean cuando usas la función «Guardar página como» para guardar una copia de un sitio web en el disco. Así es como se ve la URL del logotipo en el aviso de eliminación real. pic.twitter.com/aTHA49ItyO
– Fabián Wosar (@fwosar) 5 de marzo de 2024
«Dado que la gente sigue cayendo en el encubrimiento de ALPHV/BlackCat: ALPHV/BlackCat no fue confiscado», dijo el investigador principal de Emisoft, Fabian Wosar. «Están saliendo de estafar a sus afiliados. Es descaradamente obvio cuando se revisa el código fuente del nuevo aviso de eliminación».
Según Wosar, el código fuente de la página mostraba evidencia de que alguien había copiado el aviso usando el comando Archivo > Guardar página en el navegador Tor. La fuente copiada se originó en un sitio AlphV diferente que el FBI cerró previamente. Luego, el falsificador insertó el código en el sitio web oscuro actual de AlphV. Desde el descubrimiento de Wosar, el autor ha borrado esa evidencia, lo que indica aún más que AlphV está fingiendo su desaparición a manos de los federales.
Hay una nube de incertidumbre sobre lo que AlphV podría hacer a continuación. La especulación afirma que el grupo, ahora lleno de dinero en efectivo, podría permanecer oculto por un tiempo. Sin embargo, es probable que simplemente se reorganice y surja en la web oscura con un nombre diferente, una práctica común entre los grupos de hackers que se sienten amenazados por las autoridades. Se desconoce qué hará el equipo de hackers abandonado con sus 4 TB de datos.