Por dentro da BlackCat grupo de Ransomware como Serviço
A dark web é repleta de cibercriminosos, mas poucos conseguiriam se tornar tão famosos e temidos como o BlackCat, grupo de ransomware, também conhecido como ALPHV.
Esse grupo ganhou fama após aparecer no final de 2021, visando uma ampla gama de setores com sua sofisticada plataforma Ransomware como Serviço (RaaS).
Conhecidos por usar programação Rust de ponta em seus ataques, eles causaram um grande impacto no mundo da segurança cibernética.
Mas a pouco tempo atrás, eles atingiram um ponto crítico, um pagamento de resgate de US$ 22 milhões da Change Healthcare que abalou suas operações.
Sendo assim neste artigo veja como eles surgiram, suas estratégias de ataque, às vítimas de alto perfil que eles atacaram e o que, no final das contas, levou à sua “aparente queda”.
Como o grupo de ransomware BlackCat surgiu?
O BlackCat se posicionou como um player sério desde o início, usando tecnologia avançada para se destacar no mercado de ransomware como serviço.
Ao contrário de outros grupos de ransomware, eles utilizavam a linguagem de programação Rust para criar malware mais rápido e versátil e mais difícil de ser detectado por ferramentas de segurança tradicionais. Isso os tornava um verdadeiro pesadelo para as equipes de segurança cibernética.
O modelo RaaS (Ransomware como Serviço) deles permitia que outros criminosos cibernéticos alugassem acesso às suas ferramentas de ransomware, facilitando o lançamento de ataques por qualquer pessoa sem profundo conhecimento técnico.
Em troca, a BlackCat ficava com uma parte dos pagamentos de resgate, com sua parte diminuindo conforme o valor do resgate aumentava, às vezes chegando a 10% para pagamentos acima de US$ 5 milhões de dólares.
Essa estrutura incentivava seus clientes a perseguir grandes alvos, contribuindo para uma onda de incidentes de ransomware de alto perfil de forma frequente.
Como a BlackCat realizou seus ataques
A abordagem da BlackCat para atacar empresas era tão estratégica, podemos dizer que os ataques eram cirúrgicos.
Os clientes do Ransomware como Serviço geralmente obtinham acesso por meio de campanhas de phishing, configurações RDP fracas ou vulnerabilidades em software que não haviam sido atualizados.
Uma vez lá dentro, eles liberavam o ransomware para criptografar todos os arquivos, bloqueando as empresas de terem acesso aos seus próprios dados.
Mas é claro que sua estratégia não terminou aí, a BlackCat dominou a extorsão dupla, uma tática em que eles não apenas exigiam um resgate para descriptografar arquivos, mas também ameaçavam vazar dados confidenciais se a vítima se recusasse a pagar.
Essa camada extra de pressão frequentemente forçava as vítimas a obedecer os pedidos de resgate.
Para tornar suas ameaças mais confiáveis, a BlackCat criou um site de vazamento na Dark Web, onde publicava dados daqueles que não atendiam às suas demandas de resgate.
Essa abordagem se mostrou altamente eficaz em forçar o pagamento de grandes quantias de dinheiro dos seus alvos, que queriam preservar a integridade das informações sequestradas.
Um ponto de virada de US$ 22 milhões: o incidente da Change Healthcare
Certamente a maior jogada da BlackCat ocorreu no início de 2024, quando eles atacaram a Change Healthcare, uma empresa líder em tecnologia de saúde nos EUA.
O ataque interrompeu serviços e colocou dados confidenciais de pacientes em risco e para retomar o controle de seus sistemas e evitar um vazamento massivo de dados.
A Change Healthcare supostamente pagou um resgate de US$ 22 milhões, um dos maiores pagamentos de ransomware conhecidos até o momento.
Esse pagamento gigantesco foi uma faca de dois gumes para a BlackCat, pois embora tenha trazido um impulso financeiro significativo, também atraiu uma grande atenção de especialistas em segurança cibernética e do FBI.
Devido a proporção e valor do suposto resgate, ações coordenadas para rastrear e destruir com as operações do grupo de ransomware BlackCat foram realizadas.
Turbulência interna e pressão do FBI e Europol
Após o incidente da Change Healthcare, agências de como o FBI e a Europol intensificaram os esforços para interromper as operações da BlackCat.
Alguns de seus afiliados foram presos e partes de sua infraestrutura foram retiradas do ar. A pressão não era apenas externa, internamente, as tensões aumentaram à medida que os afiliados acusavam os membros principais de não distribuir de forma justa os pagamentos do resgate.
Essas disputas levaram a vazamentos sobre o funcionamento interno do grupo, tornando mais fácil para as autoridades rastrearem suas atividades e enfraquecerem suas redes.
O que antes era uma operação consistente começou a se desfazer, à medida que os afiliados saíam e a BlackCat lutava para manter o controle.
Apesar de suas tentativas de continuar funcionando, o domínio do grupo no mundo do ransomware estava desaparecendo aos poucos.
Um histórico de ataques de alto perfil
Antes do incidente da Change Healthcare, a BlackCat já havia se destacado ao mirar em uma gama diversificada de organizações.
Suas vítimas incluíam universidades, empresas de energia e empresas de TI, mostrando que nenhuma indústria estava segura.
Em um outro caso notável, eles atacaram uma marca de luxo italiana, ameaçando divulgar dados de clientes se a empresa não pagasse. Esses ataques causaram interrupções significativas e perdas financeiras, deixando um rastro de danos.
Mas sem sombra de dúvidas o caso da Change Healthcare foi diferente e colocou a BlackCat sob os holofotes globais. Transformando-a de um temido grupo de ransomware em um alvo principal para agências como FBI e Europol.
O panorama geral: o que a história da BlackCat significa para a segurança cibernética
A história da BlackCat é um lembrete poderoso de quão rápido o crime cibernético pode evoluir.
Eles mostraram que, com a tecnologia certa, até mesmo grupos mais novos podem chegar ao topo, desafiando grupos de ransomware mais antigos e consolidados.
Mas por outro lado eles também demonstraram os riscos de ir atrás de alvos de alto nível e resgates maiores trazem consequências maiores.
Para as empresas, a ascensão e queda parcial da BlackCat enfatiza a necessidade de medidas robustas de segurança cibernética.
Isso inclui manter o software atualizado, treinar funcionários para reconhecer tentativas de phishing e ter um plano claro de como responder se um ataque acontecer.
Onde está a BlackCat agora?
Hoje, o grupo de ransomware BlackCat aparentemente não está tão ativo quanto a algum tempo atrás.
Suas operações foram enfraquecidas e muitos de seus afiliados foram presos nas operações conjuntas em agências como FBI e Europol.
No entanto, os principais membros permanecem desconhecidos, escondidos nas sombras da Dark Web.
E à medida que a polícia continua a vasculhar a rede, é possível que mais prisões e interrupções ocorram.
Portanto, entender os métodos de grupos como o BlackCat é crucial para ficar um passo à frente no mundo em constante mudança do ransomware.
Enquanto essas ameaças persistirem, a chave para permanecer seguro está na vigilância e na preparação.
O campo de batalha digital pode mudar, mas as lições aprendidas com casos como o do BlackCat ajudarão a moldar um futuro mais seguro.