Un mandat de perquisition non scellé du FBI a révélé comment les forces de l’ordre avaient détourné les sites Web d’opérations de ransomware ALPHV/BlackCat et saisi les URL associées.
Aujourd’hui, le département américain de la Justice a confirmé qu’il avait saisi des sites Web pour l’opération de ransomware ALPHV et créé un décrypteur pour aider environ 500 entreprises à récupérer leurs données gratuitement.
Cependant, les détails entourant la perturbation sont flous, seul un mandat de perquisition non scellé fournissant des informations supplémentaires.
Ce que nous savons
Selon un mandat de perquisition descellé aujourd’hui, le FBI s’est engagé avec une source humaine confidentielle (CHS) pour s’inscrire et devenir affilié à l’opération de ransomware ALPHV/BlackCat.
Après avoir été interrogé par les opérateurs de ransomware, le SHC a reçu des informations d’identification de connexion au panneau d’affiliation principal.
Ce panneau n’est pas public et est uniquement destiné à être utilisé par les opérateurs et affiliés du gang de ransomwares, leur permettant de gérer des campagnes d’extorsion et de négocier des rançons avec une entreprise.
En vertu d’un mandat de perquisition fédéral distinct, le FBI a consulté le panel ALPHV pour déterminer comment il fonctionnait.
« Si l’affilié s’engage activement avec une victime infectée par le ransomware Blackcat, il peut sélectionner l’entité à l’aide du tableau de bord ou sélectionner le bouton « Campagnes » dans la barre de menu », indique le mandat de perquisition.
« À partir de l’écran des campagnes, les affiliés peuvent voir l’entité victime, le prix total de la rançon demandé, le prix de la rançon à prix réduit, la date d’expiration, les adresses de crypto-monnaie, les transactions de crypto-monnaie, le type de système informatique compromis, la note de demande de rançon, les discussions avec la victime, etc. »
« Ces fonctionnalités permettent aux affiliés d’impliquer la victime tout au long du processus de négociation. »
Grâce à cet accès, le FBI a obtenu les clés de déchiffrement privées utilisées dans les attaques et a créé un déchiffreur qui a aidé plus de 400 victimes à récupérer leurs fichiers gratuitement.
Cependant, on ne sait toujours pas comment ils ont obtenu ces clés de déchiffrement privées, car elles n’auraient pas été disponibles pour un affilié.
Une théorie est que le FBI a utilisé son accès interne pour trouver des vulnérabilités qui pourraient être exploitées pour vider la base de données ou obtenir un accès supplémentaire au serveur, mais cela n’est pas confirmé.
Le FBI déclare également avoir obtenu 946 paires de clés privées et publiques associées aux sites de négociation Tor, aux sites de fuite de données et au panneau de gestion de l’opération de ransomware et les avoir enregistrées sur une clé USB qui est maintenant stockée en Floride.
« Au cours de cette enquête, les forces de l’ordre ont gagné en visibilité sur le réseau du groupe de ransomwares Blackcat », explique le mandat de perquisition.
« En conséquence, le FBI a identifié et collecté 946 paires de clés publiques/privées pour les sites Tor que le groupe de ransomwares Blackcat utilisait pour héberger des sites de communication avec les victimes, des sites de fuites et des panneaux d’affiliation comme ceux décrits ci-dessus. »
« Le FBI a enregistré ces paires de clés publiques/privées sur le lecteur Flash. »
Lors de la création d’un site Web sur le réseau d’anonymisation Tor, ils génèrent une paire de clés privée et publique unique associée au .URL de l’oignon, qui est ensuite enregistrée auprès du réseau Tor.
Cependant, toute personne possédant ces paires de clés privées et publiques contrôle efficacement l’URL, leur permettant de les détourner afin qu’elles pointent vers leurs propres serveurs.
Bien que le FBI n’ait pas expliqué comment il a eu accès à ces paires de clés Tor, c’est probablement par le même accès qu’il a utilisé pour récupérer les clés de déchiffrement des fichiers cryptés de la victime.
Le FBI dit avoir confirmé que ces clés Tor sont associées au site de fuite de données de l’opération de ransomware, au panneau d’affiliation et aux sites de négociation Tor uniques remis aux victimes dans les notes de rançon.
Bien que Breachtrace ait seulement confirmé que les sites de fuite de données et certains sites de négociation avaient été détournés par les forces de l’ordre, la possession de ces clés Tor permettrait également au FBI de saisir le panel d’affiliés.
Il s’agit de la troisième opération d’application de la loi connue où le FBI a réussi à pirater l’infrastructure d’une opération de ransomware pour surveiller discrètement les activités et siphonner les clés de déchiffrement.
Le premier était REvil, où le FBI a eu accès à la clé de déchiffrement principale pour l’attaque de la chaîne d’approvisionnement de Kaseya, et le second était une violation de l’opération de rançongiciel Hive, où le FBI a obtenu plus de 1 300 clés de déchiffrement.
Le FBI et les forces de l’ordre internationales ont mis au point une tactique qui permet de violer et de perturber l’infrastructure des gangs de ransomwares, et nous verrons probablement d’autres actions de ce type à l’avenir.
Quant à BlackCat / ALPHV, ils fermeront probablement au cours des prochains mois pendant qu’ils se rebaptiseront sous un nouveau nom comme ils l’ont fait par le passé.