Il braccio di ferro tra l’FBI e la gang ransomware BlackCat

Nella giornata di ieri il Dipartimento di Giustizia degli Stati Uniti ha annunciato che l’Fbi è riuscita a interrompere l’attività criminale della gang ransomware ALPHV/BlackCat, infiltrandosi segretamente nei suoi server e riuscendo a sottrarre chiavi di decrittazione che hanno permesso “a oltre 500 vittime colpite la possibilità di ripristinare i propri sistemi”. Inoltre, come se non bastasse, sembrerebbe che l’Fbi sia anche riuscita a sequestrare il dominio del sito onion (cioè accessibile solo via Tor) del gruppo, contrassegnato da un banner che indica che è stato confiscato nel corso di un’operazione condotta dalla polizia e dalle agenzie investigative di Stati Uniti, Europol, Danimarca, Germania, Regno Unito, Paesi Bassi, Germania, Australia, Spagna e Austria.

“Il Federal Bureau of Investigation ha sequestrato questo sito come parte di un’azione coordinata delle forze dell’ordine intrapresa contro il ransomware ALPHV BlackCat”, recita il messaggio di sequestro sul sito, dando così prova di un attacco – forte e chiaro – alle attività criminali di BlackCat. A poche ore di distanza dall’annuncio del Dipartimento di Giustizia, però, ecco arrivare la risposta della cybergang, che ha annunciato di aver ripreso il controllo del suo sito e ha affermato pubblicamente che l’Fbi è entrata in possesso delle chiavi di decrittazione di sole 400 aziende, lasciando così più di 3000 vittime con i dati ancora in suo possesso. E non è tutto.

Secondo quanto riportato dal sito che i criminali di ALPHV hanno recuperato, il gruppo sta rimuovendo tutte le restrizioni ai loro affiliati, permettendogli così di prendere di mira qualsiasi organizzazione desiderino, comprese le infrastrutture critiche come gli ospedali e le centrali nucleari – anche se rimane ancora vietato vietato attaccare i paesi della Comunità degli Stati Indipendenti (CSI), che in precedenza facevano parte dell’Unione Sovietica -. Una comunicazione alquanto inquietante considerando che, secondo quanto riferito dallo stesso Dipartimento di Giustizia, “nel suo modello, la banda è responsabile della creazione e dell’aggiornamento del ransomware, mentre gli affiliati trovano gli obiettivi e lanciano gli attacchi, per poi dividersi i profitti”. Se così fosse, l’intervento dell’Fbi potrebbe aver soltanto accelerato un’attività criminale già molto intensa. E questo non sarebbe certo un bene.