Ransomware. AlphV/BlackCat Versus FBI, le chat et la souris ?
Il y a quelques jours, le FBI indiquait détenir le site du ransomware bien connu BlackCat. Depuis le Département de la Justice explique offrir un outil de déchiffrement à plus de 500 victimes dans le monde. De ce fait, cette opération aurait privé le ransomware et ses affiliés de 68 millions de dollars. « En perturbant le groupe de ransomware BlackCat, le ministère de la Justice a une fois de plus piraté les pirates », a déclaré la procureure générale adjointe Lisa O. Monaco. Sauf que…
L’un, AlphV/BlackCat est dans l’illégalité. Il vole des infos, chiffre les systèmes d’information à travers le monde contre des rançons. L’autre, le FBI chasse les cybercriminels, pour les arrêter, les condamner et permettre aux entreprises victimes de déchiffrer les données : le jeu du chat et de la souris. « Au cours des 18 derniers mois, ALPHV/Blackcat est devenu la deuxième variante de ransomware en tant que service le plus prolifique au monde, basé sur les centaines de millions de dollars de rançons payés par les victimes dans le monde entier », relate le Département de Justice américain (DOJ).
Ragnar Locker, REvil, AlphV/BlackCat…
Les sites de REvil, puis Ragnar Locker démantelés, celui de BlackCat saisi… puis après plus d’une semaine, la première page change de couleur et de message.
Le titre sur le site vitrine de la franchise est sans équivoque : « This website has been unseized ». Est-ce une provocation ?
Les opérateurs derrière BlackCat expliquent qu’à la suite de l’intervention du FBI, les règles changent et le ton semble se durcir de part et d’autre.
« Grâce à leurs actions, nous introduisons de nouvelles règles, ou plutôt, nous supprimons TOUTES les règles, sauf une, vous ne pouvez pas toucher à la CEI, vous pouvez désormais bloquer les hôpitaux, les centrales nucléaires, n’importe quoi, n’importe où. »
Sur le nouveau site vitrine, le gang derrière le ransomware affiche sur son site vitrine sept victimes. Advantage group international (Canadien), Tipalti (Californie, USA), E & J Gallo Winery (Californie, USA), le cabinet d’avocats Eckell Sparks (USA), PriceSmart (Californie, USA), Viking Therapeutics (Californie, USA) et Navigation Financial Group (Texas, USA). Les entreprises affichées sont toutes issues de l’Amérique du Nord.
(Crédits : capture d’écran/Alphv/BlackCat)
L’opération conjointe des forces de l’ordre des États-Unis, d’Europol, du Danemark, de l’Allemagne, du Royaume-Uni, des Pays-Bas, de l’Australie, de l’Espagne et de l’Autriche a permis la saisie du site. Le 7 décembre 2023, le site vitrine cessait tout fonctionnement rappelle BleepingComputer, jusqu’au mardi 19 décembre.
Une action de Police conjointe, une action en justice
Dans un document de 20 pages, l’acte juridique de la Cour américaine sont relatées les opérations suite à la saisie du site.
Jusqu’ici tout allait bien… Mardi dans l’après-midi, le site du ransomware avait changé d’image, passant du rouge au vert.
« Au cours de cette enquête, les forces de l’ordre ont pu se familiariser avec le réseau du Blackcat Ransomware Group. Le FBI a ainsi identifié et collecté 946 paires de clés publiques/privées pour des sites Tor que le Blackcat Ransomware Group utilisait pour héberger des sites de communication avec les victimes, des sites de fuites et des panneaux d’affiliation comme ceux décrits ci-dessus. Le FBI a enregistré ces paires de clés publiques/privées sur la clé USB. »
(Crédits : capture d’écran/AlphV/BlackCat)
Le ransomware s’est fait un nom en raison de l’ampleur de ses attaques, mais aussi de l’aspect dévastateur souligne Zataz. Le secteur des soins de santé n’était pas épargné, comme de très nombreuses autres entreprises. L’alerte Flash du FBI expliquait que BlackCat est « est le premier groupe de ransomware à le faire avec succès en utilisant RUST, considéré comme un langage de programmation plus sûr qui offre de meilleures performances et un traitement simultané fiable. Les acteurs de la menace affiliés à BlackCat demandent généralement des paiements de rançon de plusieurs millions de dollars en bitcoin et en monero, mais ils ont accepté des paiements inférieurs au montant initial de la demande de rançon. »
Les sites tombent, le code demeure
Si LockBit avait proposé aux affiliés de BlackCat de les rejoindre cela semble désormais plus d’actualité. Lorsqu’un site tombe le code est réutilisé par d’autres cybercriminels. Ils usent de codes et les améliorent sans cesse.
« Comme vous le savez tous, le FBI a reçu les clés de notre blog, nous allons maintenant vous raconter comment tout cela s’est passé. Premièrement, comment tout cela s’est passé, après avoir étudié leurs documents, nous comprenons qu’ils ont eu accès à l’un des DC, puisque tous les autres DC n’ont pas été touchés, il s’avère qu’ils ont piraté d’une manière ou d’une autre l’un de nos hébergeurs, peut-être qu’il les a même aidés », explique AlphV.
(Les DC sont des Contrôleurs de Domaines, NDLR)
« Le maximum dont ils disposent est celui des clés depuis un mois et demi, soit environ 400 entreprises, mais maintenant, à cause d’elles, plus de 3 000 entreprises ne recevront jamais leurs clés. »
(Crédits : capture d’écran/AlphV/BlackCat)
« Nous n’accordons aucune remise aux entreprises […] Merci pour votre expérience, nous prendrons en compte nos erreurs et travaillerons encore plus dur […]. » Quoi qu’il en soit, aucun des belligérants ne s’avouera vaincu, jusqu’à preuve du contraire. De son côté le FBI n’accordera, semble-t-il, aucune pitié. « Le FBI continuera de poursuivre énergiquement ces acteurs criminels partout où ils tenteront de se cacher et de veiller à ce qu’ils soient traduits en justice et tenus responsables par la loi », a déclaré Paul Abbate, directeur adjoint du FBI, comme les États-Unis poursuivent le ransomware Play.
Ping : Cyberattaques… quels sont les coûts et conséquences ? – Libre Expression
Ping : Un vent hivernal de cyberattaques de type ransomware en Europe – Libre Expression