En lo que se está convirtiendo en un período tumultuoso para el mundo cibercriminal clandestino, el grupo de ransomware ALPHV/BlackCat apagó su infraestructura de servidores en una operación aparentemente autoimpuesta, en medio de acusaciones de que los cabecillas del grupo habían robado millones de dólares de una filial que recientemente atacó a un proveedor de servicios de salud estadounidense. Al principio, el desmantelamiento pareció ser el resultado de un desmantelamiento coordinado por parte de las agencias policiales, pero según Reuters, la Agencia Nacional contra el Crimen (NCA), que dirigió la Operación Cronos, el reciente desmantelamiento de la operación LockBit, no se ha tomado ninguna medida policial. ocurrió. Las aguas se enturbiaron aún más con la aparición de una declaración del domingo 3 de marzo publicada en un inglés entrecortado en uno de los principales foros clandestinos por un supuesto afiliado de ALPHV/BlackCat. El cartel afirmaba que habían estado trabajando con ALPHV/BlackCat durante mucho tiempo, y el 1 de marzo recibieron un pago de rescate de 22 millones de dólares de United Health Group, con sede en Minneapolis, Minnesota, la empresa matriz de Change Healthcare, afectada por el ransomware. Sin embargo, dijeron, después de recibir el pago, el equipo de ALPHV/BlackCat «decide suspender nuestra cuenta y seguir mintiendo y retrasando cuando nos comunicamos con el administrador de ALPHV sobre Tox». Agregaron: “Siguió diciendo que están esperando ro [sic] El administrador jefe y el codificador hasta hoy vaciaron la billetera y se llevaron todo el dinero…. Tengan cuidado todos y dejen de lidiar con ALPHV”. «Es importante enfatizar que todo esto es especulación», dijo Yossi Rachman, director de investigación de seguridad de Semperis. “Estoy de acuerdo en que parece un poco extraño, porque ALPHV podría perder negocios por ello. Por otra parte, no es un negocio físico, por lo que si deciden robar el dinero y huir, pueden fácilmente establecer un nuevo negocio con un nombre diferente. “En general, nadie fuera de los círculos internos de ALPHV, su afiliado y Change Healthcare tiene conocimiento de esta información sobre quién pagó o no. Y ya sabes lo que dicen en la industria de la seguridad cibernética acerca de que no hay honor entre los ladrones. Así que nada me sorprende”. Stephen Robinson, analista senior de inteligencia de amenazas de WithSecure, se hizo eco del sentimiento de Rachman de tomar cualquier cosa al pie de la letra. «Cualquier declaración de los ciberdelincuentes es inherentemente poco confiable, ALPHV parece haberse desconectado, pero no sabemos por qué», dijo. “La afirmación sobre el pago de los afiliados es bastante interesante, pero igualmente poco fiable. Para que una operación RaaS funcione, los afiliados y el grupo central deben confiar entre sí, por lo que «robar» o retener el pago a un afiliado sería muy inusual. Sin embargo, los ciberdelincuentes a menudo se esfuerzan por permanecer fuera del radar de las fuerzas del orden y evitar cometer ataques que tendrán impactos en el mundo real, lo que atraerá la atención de las fuerzas del orden internacionales”. “El compromiso de Change Healthcare ha tenido un impacto significativo y duradero en el mundo real de Estados Unidos. Si ALPHV se ha negado a pagarle al afiliado que realizó el ataque y lo ha excluido de la operación, podría ser porque cree que fue un ataque de demasiado alto perfil o porque violó las reglas de la operación, sean las que sean”, dijo. . «Es posible que ALPHV esté a punto de cambiar su marca con un nombre diferente para evitar la atención de las autoridades, pero eso es sólo una especulación». Esto hablaría de las raíces de ALPHV/BlackCat, igualmente especulativas en su mayor parte, en la operación DarkSide que atacó Colonial Pipeline en 2021. Este ataque, que provocó un impacto en el mundo real y una interrupción del suministro de combustible en una franja de EE. UU., trajo la La cuestión del ransomware atrajo la atención generalizada a nivel mundial y provocó grandes cambios en la política occidental. También resultó en una operación policial coordinada contra la pandilla, que recuperó una proporción significativa del rescate pagado por Colonial Pipeline. Para las víctimas, no hay alivio La supuesta incautación por parte de la pandilla del pago supuestamente realizado por Change Healthcare -cuyo padre no ha confirmado si ha pagado o no algún rescate- será un pequeño alivio para una organización que ha enfrentado -o aún enfrenta- una agonizante decisión. «Si bien puede estar dentro del apetito de riesgo para una compañía de entretenimiento como MGM rechazar una demanda de rescate a pesar de que el tiempo de inactividad le está costando ingresos a la organización, la decisión de no pagar un rescate probablemente no pondrá ninguna vida en riesgo», dijo Jon Miller, co -fundador y director ejecutivo de la plataforma anti-ransomware Halcyon. “¿Pero qué pasa con un proveedor de atención médica como Change Health que necesita acceso urgente a los sistemas porque cualquier retraso podría representar un riesgo para la vida humana? En estos casos, la decisión sobre si se debe pagar una demanda de rescate es significativamente más complicada”. Hablando en el renovado debate sobre si el pago de las demandas de ransomware debería ser ilegal o no, Miller reconoció ambos lados del problema y dijo que pagar rápidamente podría en ocasiones ser la forma más rápida de restaurar las operaciones, aunque con cierto riesgo, pero que hacerlo claramente alentó más ataques en el futuro. Para las organizaciones sanitarias, ya sea el sistema privado estadounidense o el NHS del Reino Unido, la elección es aún más difícil. «Los ataques de ransomware contra el sistema sanitario están afectando cada vez más a la capacidad de las organizaciones para atender a los pacientes, y algunos estudios ya han encontrado un vínculo directo entre los ataques de ransomware y el aumento de la mortalidad de los pacientes», afirmó Miller. “Un estudio encontró que el 68% dijo que los ataques de ransomware resultaron en una interrupción de la atención al paciente, y el 43% dijo que la filtración de datos durante el ataque también afectó negativamente la atención al paciente, el 46% notó un aumento en las tasas de mortalidad y el 38% notó más complicaciones en los procedimientos médicos posteriores. un ataque”, añadió. Sin embargo, añadió, el debate sobre las prohibiciones de pago de rescates no aborda realmente la causa fundamental del problema: en primer lugar, la vulnerabilidad de los sistemas informáticos de la víctima. «Si podemos evitar que estos ataques tengan éxito, el debate sobre el pago del rescate se vuelve discutible», afirmó.

Source link