ALPHV

El operador de ransomware ALPHV, conocido también como BlackCat, surgió en noviembre de 2021 y fue uno de los más prolíficos de todo el horizonte de amenazas. Durante su periodo de actividad fue capaz de conseguir aproximadamente 300 millones de Euros provenientes de más de 1000 víctimas. Al igual que otros grupos como LockBit o Cl0p, formaba parte del “Big Game Hunting”, comprometiendo organizaciones de gran tamaño y relevancia, ya fueran de carácter privado o público.

ALPHV se distingue por ser uno de los primeros grupos de ransomware que adoptó la estrategia de Ransomware como Servicio (Ransomware-as-a-Service –RaaS). Este modelo permite tener afiliados, que emplean el ransomware del grupo y utilizan su infraestructura a cambio de pagar una parte del rescate que obtienen de sus víctimas – siempre adhiriéndose a las reglas que la organización matriz impone. Por otra parte, el grupo lleva a cabo una doble extorsión (exfiltración + cifrado), una táctica común a prácticamente todos los operadores de ransomware.

El ransomware, que recibe el mismo nombre que el grupo, está escrito en lenguaje Rust y, debido a esto, el grupo creó una herramienta multiplataforma que permite al malware funcionar tanto en el sistema operativo Windows como en Linux.

Para realizar sus ataques, ALPHV ha empleado la herramienta Fendr como utilidad para exfiltración y robo de información de los sistemas comprometidos. La utilización de esta herramienta – anteriormente conocida como ExMatte –  implica que es probable que el grupo guarde una relación con el grupo BlackMatter, pudiendo incluso ser un “rebranding” de este. BlackMatter fue el único  adversario identificado haciendo uso de esta herramienta. ALPHV también ha sido asociado con el ya extinto DarkSide.

A diferencia de otros operadores de ransomware, ALPHV no establecía límites en cuanto a sectores objetivo para sus afiliados, atacando indiscriminadamente cualquier sector como el sanitario (sector que otros grupos como por ejemplo LockBit han evitado atacar).

En marzo de 2023 ALPHV atacó a Lehigh Valley Health y publicó en su página web .onion, a modo de muestra y para forzar el pago, fotos de pacientes de cáncer de mama que se encontraban semidesnudos. Si bien el sector salud es uno de los más impactados por los operadores de Ransomware, especialmente en Estados Unidos, este acto fue especialmente relevante por la sensibilidad del material filtrado.

El 7 de diciembre de 2023, el FBI inutilizó la página web .onion del grupo, apareciendo en ese momento una imagen con la alerta de su interrupción y los logos de las diferentes agencias que habían participado en la operación. Adicionalmente, el departamento de Justicia estadounidense, junto con el FBI, publicó una herramienta de descifrado que serviría de ayuda para aproximadamente 500 víctimas. ALPHV, después de unas semanas, recuperó su página web, que se mantuvo activa durante unos meses.

El 21 de febrero de 2024 Change Healthcare informó de haber sufrido una intrusión. En primera instancia se sospechaba que esta había sido perpetrada por una APT hasta que se reveló que había sido ALPHV.  El grupo afirmó haber robado 6 TB de datos, y a raíz de esto, la institución pagó un rescate de 22 millones de dólares a una cuenta del grupo para evitar la divulgación de estos datos. Este dinero nunca llegó al afiliado, que nada contento, lo reclamó;  posteriormente la dirección de ALPHV indicó que este pago nunca había sido recibido. Poco después la página apareció confiscada e interrumpida por las autoridades, algo que estas negaron haber hecho.

Actualmente la página del grupo ya no está disponible y se sospecha que realizaron un “exit-scam”, huyendo con el dinero del rescate. Poco tiempo después un grupo distinto y nuevo, RansomHub, afirmó tener los datos de Change Healthcare. Este grupo fue observado por primera vez en febrero de 2024, ofreciendo su ransomware como servicio en RAMP, un foro criminal. Esta situación pudo deberse a diferentes razones, una de ellas un “rebranding” por parte de ALPHV – algo que ya habían hecho en el pasado; de DarkSide pasaron a BlackMatter y después a BlackCat/ALPHV. Aunque esta posibilidad es relativamente probable, no es la única, otra opción es que sea un proyecto de carácter temporal mientras la matriz de ALPHV recompone su infraestructura.

El devenir de los acontecimientos más probable es que el afiliado que llevó a cabo el ataque buscara otra organización matriz de la que formar parte y al cambiar, decidiera probar y vender los datos de nuevo.