Le gang de ransomwares ALPHV/BlackCat a versé plus de 300 millions de dollars de rançons à plus de 1 000 victimes dans le monde en septembre 2023, selon le Federal Bureau of Investigation (FBI).

« Les affiliés d’ALPHV Blackcat disposent de vastes réseaux et d’une vaste expérience des ransomwares et des opérations d’extorsion de données », a déclaré le FBI.

« Selon le FBI, en septembre 2023, les affiliés d’ALPHV Blackcat avaient compromis plus de 1000 entités—dont près de 75% se trouvent aux États— Unis et environ 250 en dehors des États-Unis -, exigé plus de 500 millions de dollars et reçu près de 300 millions de dollars de rançons. »

Dans l’avis conjoint publié aujourd’hui en collaboration avec la CISA, le FBI a également partagé des mesures d’atténuation pour aider les défenseurs des réseaux et les organisations d’infrastructures critiques à réduire l’impact et les risques associés aux attaques de ce groupe de ransomwares.

Les deux agences ont également fourni des COI ALPHV (indicateurs de compromission) et des TTP (tactiques, techniques et procédures) identifiés par le FBI aussi récemment que le 6 décembre.

Les défenseurs des réseaux sont fortement encouragés à prioriser les correctifs des vulnérabilités exploitées dans la nature et à appliquer l’authentification multifacteur (MFA) avec des mots de passe forts sur tous les services, en particulier pour la messagerie Web, le VPN et les comptes liés aux systèmes critiques.

En outre, ils doivent régulièrement mettre à jour et corriger les logiciels avec les dernières versions et se concentrer sur les évaluations des vulnérabilités en tant que composants intégraux des protocoles de sécurité standard.

BlackCat / ALPHV est apparu il y a plus de deux ans, en novembre 2021, et est soupçonné d’être un changement de nom de la tristement célèbre opération de ransomware DarkSide et BlackMatter.

Initialement connu sous le nom de DarkSide, ce groupe a acquis une notoriété mondiale à la suite de son attaque contre Colonial Pipeline, ce qui a conduit à des enquêtes approfondies par les forces de l’ordre.

Le FBI avait précédemment lié ce gang de ransomwares à plus de 60 violations affectant des organisations dans le monde entier au cours des quatre premiers mois d’activité, de novembre 2021 à mars 2022.

Le FBI perturbe Blackcat et développe un outil de décryptage
Le 7 décembre, Breachtrace a signalé pour la première fois que les sites Web sombres d’ALPHV, y compris les sites Web de négociation Tor et de fuite de données du gang, avaient soudainement cessé de fonctionner.

Aujourd’hui, le ministère de la Justice a confirmé nos informations, affirmant que le FBI avait violé les serveurs de l’opération de ransomware ALPHV, surveillant avec succès leurs activités et obtenant des clés de déchiffrement.

Pour accéder au panneau d’affiliation backend d’ALPHV, le FBI a contacté une source humaine confidentielle (CHS) qui a reçu des informations de connexion en tant qu’affilié après un entretien avec les opérateurs de ransomware.

Bannière de saisie de Chat noir ALPHA

​Le FBI a surveillé silencieusement les opérations de l’ALPHV pendant des mois tout en collectant des clés de déchiffrement, ce qui leur a permis d’aider plus de 500 victimes dans le monde à récupérer leurs fichiers gratuitement, économisant environ 68 millions de dollars en demandes de rançon. Cependant, on ne sait pas comment les clés de déchiffrement privées ont été obtenues car elles n’auraient pas été disponibles en utilisant les informations d’identification backend d’un affilié.

Une théorie probable, bien que non encore confirmée, est que le FBI a exploité des vulnérabilités qui ont permis de vider la base de données ou d’accéder davantage au serveur du gang de ransomwares.

Le FBI a également saisi le domaine du site de fuite de données de l’opération de ransomware, ajoutant une bannière expliquant que la saisie était le résultat d’une opération internationale d’application de la loi. Cependant, quelques heures plus tard, ALPHV a « désinscrit » leur site de fuite de données, affirmant que le FBI avait eu accès à un centre de données hébergeant les serveurs du gang. ALPHV affirme également dans le message publié sur leur site de fuite qu’ils ont violé au moins 3 400 victimes.

Étant donné qu’ALPHV et le FBI disposent actuellement des clés privées du site de fuite de données, ils peuvent prendre le contrôle du domaine l’un de l’autre.

Cette situation a été considérée comme une sorte de cadeau de vacances précoce par d’autres groupes de cybercriminalité, le gang de ransomwares LockBit, par exemple, demandant aux affiliés d’ALPHV de changer d’équipe pour poursuivre les négociations avec les victimes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *