Le gang de rançongiciels ALPHV, également appelé BlackCat, tente de mettre plus de pression sur leurs victimes pour qu’elles paient une rançon en fournissant une API pour leur site de fuite afin d’augmenter la visibilité de leurs attaques.
Cette décision fait suite à la récente violation par le gang d’Estée Lauder qui s’est terminée par l’entreprise de beauté ignorant complètement les efforts de l’acteur menaçant pour engager des négociations pour le paiement d’une rançon.
Appels API et robot d’exploration Python
Plusieurs chercheurs ont repéré plus tôt cette semaine que le site de fuite de données ALPHV/BlackCat a ajouté une nouvelle page avec des instructions pour utiliser leur API afin de collecter des mises à jour opportunes sur les nouvelles victimes.
Les API, ou interfaces de programmation d’applications, sont généralement utilisées pour permettre la communication entre deux composants logiciels sur la base de définitions et de protocoles convenus.
Le groupe de recherche sur les logiciels malveillants VX-Underground a souligné la nouvelle section sur le site d’ALPHV, mais il semble que la « fonctionnalité » soit partiellement disponible depuis des mois, mais pas pour un public plus large.
Le gang de rançongiciels a publié les appels API qui aideraient à récupérer diverses informations sur les nouvelles victimes ajoutées à leur site de fuite ou mises à jour à partir d’une date spécifique.
“Récupérez les mises à jour depuis le début et synchronisez chaque article avec votre base de données. Après cela, tout appel de mise à jour ultérieur devrait fournir le updatedDt
le plus récent des articles précédemment synchronisés [sic] + 1 milliseconde », a expliqué le gang.
Le groupe a également fourni un robot d’exploration écrit en Python pour aider à récupérer les dernières informations sur le site de fuite de données.
Moins de victimes payantes
Bien que le gang n’ait pas expliqué la publication de l’API, l’une des raisons pourrait être que moins de victimes succombent aux demandes de ransomware.
Un rapport de la société de réponse aux incidents de ransomware Coveware note que le nombre de victimes payantes qui ont subi une attaque de ransomware « est tombé à un niveau record de 34% » au deuxième trimestre de cette année.
Cependant, certains acteurs de la menace continuent de gagner beaucoup d’argent en se concentrant sur le ciblage de la chaîne d’approvisionnement pour violer un grand nombre d’organisations.
Le rançongiciel Clop, par exemple, devrait rapporter au moins 75 millions de dollars grâce à sa campagne massive de vol de données MOVEit.
Les failles de Clop utilisant une vulnérabilité zero-day dans la plate-forme de transfert de fichiers sécurisée MOVEit Transfer ont probablement un impact sur des centaines d’entreprises, y compris Estée Lauder qui a également été compromise par ALPHV/BlackCat.
Estée Lauder n’a répondu à aucun message d’ALPHV, indiquant clairement qu’elle ne paierait pas l’attaquant pour les fichiers volés.
Cela a enflammé le gang des rançongiciels et a déclenché un message mécontent qui se moquait des mesures de sécurité de l’entreprise en disant que les experts en sécurité amenés à la suite de la violation avaient fait un mauvais travail car le réseau était toujours compromis.
Avec moins de victimes payantes, les gangs de rançongiciels recherchent de nouvelles méthodes pour faire pression et obtenir de l’argent.
Avec moins de victimes payantes, les gangs de rançongiciels recherchent de nouvelles méthodes pour faire pression et obtenir de l’argent. Rendre leurs fuites facilement accessibles à un public plus large semble être la dernière couche d’extorsion des ransomwares, mais elle est probablement vouée à l’échec.