Le ministère de la Justice a annoncé aujourd’hui que le FBI avait réussi à pirater les serveurs de l’opération de ransomware ALPHV pour surveiller leurs activités et obtenir des clés de déchiffrement.
Le 7 décembre, Breachtrace a signalé pour la première fois que les sites Web ALPHV, alias BlackCat, avaient soudainement cessé de fonctionner, y compris les sites de négociation Tor et de fuite de données du gang de ransomwares.
Alors que l’administrateur d’ALPHV a affirmé qu’il s’agissait d’un problème d’hébergement, Breachtrace a appris qu’il était lié à une opération d’application de la loi.
Aujourd’hui, le ministère de la Justice a confirmé nos informations, déclarant que le FBI avait mené une opération d’application de la loi qui leur avait permis d’accéder à l’infrastructure d’ALPHV.
Avec cet accès, le FBI a surveillé silencieusement l’opération de ransomware pendant des mois tout en siphonnant les clés de déchiffrement. Ces clés de déchiffrement ont permis au FBI d’aider 500 victimes à récupérer leurs fichiers gratuitement, économisant environ 68 millions de dollars en demandes de rançon.
De plus, le FBI a saisi le domaine du site de fuite de données d’ALPHV, qui affiche désormais une bannière indiquant qu’il a été saisi lors d’une opération internationale d’application de la loi.
Le FBI a déclaré avoir saisi le site Web après avoir obtenu les paires de clés publiques et privées pour les services cachés Tor sous lesquels le site Web fonctionnait, leur permettant de prendre le contrôle des URL.
« Au cours de cette enquête, les forces de l’ordre ont gagné en visibilité sur le réseau du groupe de ransomwares Blackcat », peut-on lire dans un mandat de perquisition non scellé.
« En conséquence, le FBI a identifié et collecté 946 paires de clés publiques/privées pour les sites Tor que le groupe de ransomwares Blackcat utilisait pour héberger des sites de communication avec les victimes, des sites de fuites et des panneaux d’affiliation comme ceux décrits ci-dessus. »
« Le FBI a enregistré ces paires de clés publiques/ privées sur le lecteur Flash. »
Le message de saisie indique que l’opération d’application de la loi a été menée par des services de police et d’enquête des États-Unis, d’Europol, du Danemark, d’Allemagne, du Royaume-Uni, des Pays-Bas, d’Allemagne, d’Australie, d’Espagne et d’Autriche.
« Le Federal Bureau of Investigation a saisi ce site dans le cadre d’une action coordonnée des forces de l’ordre contre le ransomware ALPHV BlackCat », indique le message de saisie.
« Cette mesure a été prise en coordination avec le Bureau du Procureur des États-Unis pour le District sud de la Floride et la Section de la criminalité Informatique et de la Propriété Intellectuelle du Ministère de la Justice, avec une aide substantielle d’Europol et de la Zentrale Kriminalinspektion Guttingen. »
Depuis la perturbation des serveurs d’ALPHV, les affiliés ont perdu confiance dans l’opération, Breachtrace apprenant qu’ils contactaient directement les victimes par courrier électronique plutôt que d’utiliser le site de négociation Tor du gang.
Cela était probablement dû au fait que les acteurs de la menace pensaient que l’infrastructure ALPHV avait été compromise par les forces de l’ordre, les mettant en danger s’ils l’utilisaient.
L’opération de ransomware LockBit a également considéré cette perturbation comme un cadeau de vacances précoce, indiquant aux affiliés qu’ils pouvaient se rendre à son opération pour continuer à négocier avec les victimes.
Une troisième violation par les forces de l’ordre
Cette opération de ransomware a fonctionné sous plusieurs noms au fil des ans et a été violée par les forces de l’ordre à chaque fois.
Ils ont d’abord été lancés sous le nom de DarkSide en août 2020, puis ont fermé en mai 2021 après avoir fait face à une pression intense des opérations d’application de la loi causées par l’attaque largement médiatisée du gang contre Colonial Pipeline.
L’opération de ransomware est ensuite revenue sous le nom de BlackMatter le 31 juillet, mais, une fois de plus, s’est arrêtée en novembre 2021 après qu’Emsisoft a exploité une faiblesse pour créer un décrypteur et que des serveurs ont été saisis.
Le gang est revenu à nouveau en novembre 2021, cette fois sous le nom de BlackCat / ALPHV. Depuis lors, le gang de ransomwares a constamment évolué ses tactiques d’extorsion et a adopté l’approche inhabituelle de s’associer à des affiliés anglophones.
En raison de cette opération d’application de la loi, nous verrons probablement le gang ransomware se rebaptiser à nouveau sous un nom différent.