Le gang de ransomwares BlackCat réalise une arnaque de sortie, essayant de fermer et de s’enfuir avec l’argent des affiliés en prétendant que le FBI a saisi leur site et leur infrastructure.
Le gang a annoncé qu’il vendait maintenant le code source du logiciel malveillant pour le prix élevé de 5 millions de dollars.
Sur un forum de hackers, ALPHA a déclaré qu’ils avaient décidé de « fermer le projet » à cause du « gouvernement fédéral », sans fournir de détails supplémentaires ni de clarification.
« Les fédéraux nous ont baisés »
Le gang de ransomwares a commencé l’opération de sortie frauduleuse vendredi, lorsqu’il a mis son blog de fuite de données Tor hors ligne. Lundi, ils ont en outre fermé les serveurs de négociation, affirmant qu’ils avaient décidé de tout éteindre, au milieu des plaintes d’une filiale selon lesquelles les opérateurs leur avaient volé une rançon de 20 millions de dollars pour changer de soins de santé. »
Hier, le statut du gang sur Tox a changé en » GG « (« bon jeu ») – faisant allusion à la fin de l’opération, et plus tard à « vendre le code source 5kk », indiquant qu’ils voulaient 5 millions de dollars pour leur logiciel malveillant.
Dans un message sur un forum de hackers partagé par Dmitry Smilyanets de Recorded Future, les administrateurs de l’opération ont déclaré qu’ils « avaient décidé de fermer complètement le projet » et « nous pouvons déclarer officiellement que les autorités fédérales nous ont foutus en l’air.
Cependant, aucun détail n’est donné sur ce que le FBI a fait pour remporter une telle victoire contre le ransomware ALPHA/Black Cat.
Au moment de la rédaction de cet article, le site de fuite ALPHV affiche une fausse bannière annonçant que le Federal Bureau of Investigation (FBI) a saisi le serveur dans le cadre d’une “action coordonnée des forces de l’ordre contre le ransomware ALPHV Blackcat.
Breachtrace a remarqué que l’image de la bannière de saisie est hébergée dans un dossier nommé « /CE SITE WEB A ÉTÉ saisi_fichiers/ », ce qui indique clairement que la bannière a été extraite d’une archive.
L’expert en ransomware Fabian Wosar a déclaré à Breachtrace que le gang de ransomwares avait simplement configuré un serveur Python SimpleHTTPServer pour servir la fausse bannière.
« Ils ont donc simplement enregistré l’avis de retrait de l’ancien site de fuite et créé un serveur HTTP Python pour le servir sous leur nouveau site de fuite. Paresseux », a déclaré Fabian Wosar à Breachtrace .
De plus, Wosar dit que ses contacts à Europol et à la NCA « ont refusé toute sorte d’implication » dans la saisie du site de ransomware ALPHV.
Les rumeurs d’une possible arnaque à la sortie d’ALPHV ont commencé lorsqu’un partenaire de longue date d’ALPHV, un soi-disant » Notchy », a affirmé que le gang avait fermé son compte et leur avait volé un paiement de 22 millions de dollars provenant de la rançon prétendument payée par Optum pour l’attaque Change Healthcare.
Comme preuve de leur réclamation, l’affilié a partagé une adresse de paiement en crypto-monnaie qui n’a enregistré qu’un seul transfert entrant de 350 bitcoins (environ 23 millions de dollars) à partir d’un portefeuille qui semble avoir été utilisé spécifiquement pour cette transaction le 2 mars.
Après avoir obtenu les fonds, l’adresse du destinataire qui appartiendrait aux opérateurs ALPHV a distribué les bitcoins à divers portefeuilles en transactions égales d’environ 3,3 millions de dollars.
Il convient de noter que, bien que l’adresse du destinataire soit maintenant vide, elle indique qu’elle a reçu et envoyé près de 94 millions de dollars.
Avec les réclamations des affiliés qui ne sont pas payées, une fermeture soudaine de l’infrastructure, la rupture des liens avec plusieurs affiliés, le message « GG » sur Tox, annonçant qu’ils vendent le code source du logiciel malveillant, et surtout prétendant que le FBI a pris le contrôle de leurs sites Web, tout cela est une indication claire que les administrateurs de ransomwares ALPHV/BlackCat sont des arnaques à la sortie.
Qui est le chat noir / ALPHV ransomware
Les opérateurs de BlackCat sont impliqués dans les ransomwares depuis au moins 2020, lancés pour la première fois sous le nom de DarkSide en août 2020 en tant qu’opération de ransomware en tant que service (RaaS).
Un RaaS se produit lorsque les principaux opérateurs développent un cryptographe de ransomware et des sites de négociation et recrutent des affiliés pour utiliser leurs outils pour mener des attaques de ransomware et voler des données.
Après le paiement d’une rançon, les opérateurs se partagent le paiement de la rançon, les affiliés et leurs équipes recevant généralement 70 à 80% du paiement et l’opération recevant le reste.
Après leur attaque largement médiatisée contre Colonial Pipeline, les acteurs de la menace ont mis fin à l’opération DarkSide en mai 2021 sous la pression intense des forces de l’ordre mondiales.
Alors que les gangs de ransomwares étaient déjà surveillés par les forces de l’ordre, l’attaque contre Colonial Pipeline a été un point de basculement pour les gouvernements du monde entier qui ont commencé à cibler en priorité ces opérations de cybercriminalité.
Au lieu de rester à l’écart, les opérateurs ont lancé une nouvelle opération de ransomware appelée BlackMatter le 31 juillet 2021. Cependant, les cybercriminels ont rapidement fermé à nouveau en novembre 2021 après qu’Emsisoft a exploité une faiblesse pour créer un décrypteur, et des serveurs ont été saisis.
Au lieu d’apprendre de leurs erreurs, les opérateurs de ransomwares sont revenus en novembre 2021, cette fois sous le nom de BlackCat ou ALPHV.
Bien que le nom officiel du gang soit ALPHV, il n’était pas connu à l’époque, alors les chercheurs l’ont appelé BlackCat en se basant sur la petite icône d’un chat noir utilisée sur le site de négociation de chaque victime.
Depuis lors, le gang de ransomwares n’a cessé d’évoluer ses tactiques d’extorsion, adoptant l’approche inhabituelle de s’associer à des affiliés anglophones.
Cependant, l’année dernière, les acteurs de la menace sont devenus de plus en plus toxiques, travaillant avec des affiliés qui menaçaient de nuire physiquement, publiant des photos nues à partir de données volées et appelant agressivement les victimes.
Avec cette nouvelle stratégie d’extorsion, le gang des ransomwares était fermement placé dans le collimateur des forces de l’ordre.
En décembre 2023, une opération internationale d’application de la loi a saisi les sites de négociation Tor et de fuite de données du gang de ransomwares.
Le FBI a également annoncé qu’il avait piraté les serveurs de BlackCat et collecté discrètement des informations sur les cybercriminels tout en obtenant des déchiffreurs pour permettre aux victimes de récupérer leurs fichiers gratuitement.
Au lieu de fermer, le gang de ransomwares a poursuivi ses activités, jurant de riposter contre le gouvernement américain en attaquant des infrastructures critiques.
N’apprenant jamais de leurs erreurs passées, le gang de ransomwares a de nouveau mené une attaque qui est allée trop loin, mettant sous le contrôle total des forces de l’ordre mondiales leur opération.
D’abord, c’était Colonial Pipeline en 2020, et maintenant c’est l’attaque contre Change Healthcare du groupe UnitedHealth. L’attaque Change Healthcare a eu un impact significatif sur le système de santé américain après la perturbation des systèmes utilisés par les pharmacies et les médecins pour déposer des réclamations auprès des compagnies d’assurance.
Cette perturbation a entraîné des conséquences réelles pour les patients américains qui ne peuvent plus utiliser de cartes de réduction ou recevoir des médicaments dans le cadre de leurs régimes d’assurance habituels, les obligeant à payer temporairement le plein prix des médicaments essentiels.
Les acteurs de la menace ont également affirmé avoir volé 6 To de données de Change Healthcare, contenant les informations de santé de millions de citoyens américains.
Après avoir reçu un prétendu paiement de rançon de 22 millions de dollars de Change Healthcare pour ne pas divulguer de données et recevoir le décrypteur, un affilié a affirmé que les opérateurs BlackCat avaient volé leur argent.
Cependant, au lieu d’être perturbée par les forces de l’ordre, l’opération s’est à nouveau arrêtée, entraînant une arnaque à la sortie.
À ce stade, il n’est pas clair si le gang de ransomwares reviendra sous un nouveau nom. Cependant, une chose est sûre: leur réputation a été considérablement ternie, ce qui rend douteux que les affiliés veuillent travailler avec eux à l’avenir.