Le gang de ransomwares ALPHV/BlackCat a fermé ses serveurs alors qu’il prétend avoir escroqué la filiale responsable de l’attaque contre Optum, l’opérateur de la plateforme Change Healthcare, de 22 millions de dollars.

Alors que le blog de fuite de données de BlackCat est en panne depuis vendredi, Breachtrace avait confirmé que les sites de négociation étaient toujours actifs ce week-end.

Aujourd’hui, Breachtrace a confirmé que les sites de négociation des opérations de ransomware sont désormais également fermés, indiquant une nouvelle suppression délibérée de l’infrastructure du gang de ransomwares.

Un court statut en russe sur la plate-forme de messagerie que l’acteur de la menace ransomware utilise pour communiquer indique qu’il a décidé de tout désactiver.

On ne sait pas s’il s’agit d’une arnaque à la sortie ou d’une tentative de renommer l’opération sous un nom différent.

Change Healthcare est une plateforme d’échange de paiements qui relie les médecins, les pharmacies, les prestataires de soins de santé et les patients du système de santé américain.

Optum aurait payé une rançon
Plus tôt dans la journée, la plate-forme de messagerie Tox utilisée par l’opérateur de ransomware BlackCat contenait un message qui ne fournit aucun détail sur ce que le gang prévoit ensuite: “Все выключено, решаем”, ce qui se traduit par « Tout est éteint, nous décidons. »

ALPHA décide d’éteindre les serveurs

Ce message d’état a maintenant été changé en « GG », ce qui peut signifier  » bon jeu. »Cependant, le contexte de ce message n’est pas clair.

Cette décision peut être liée aux affirmations de quelqu’un se décrivant comme un affilié de longue date d’ALPHV/BlackCat responsable de l’attaque contre Optum, qui a déclaré qu’ALPHV les avait bannis de l’opération et avait volé une rançon de 22 millions de dollars prétendument payée par Optum pour l’attaque Change Healthcare.

Dmitry Smilyanets de la société de renseignement sur les menaces Recorded Future a partagé le message de la prétendue filiale de ransomware, qui affirmait qu’Optum avait payé une rançon à ALPHV/BlackCat le 1er mars pour supprimer les données volées sur la plate-forme Change Healthcare et recevoir un déchiffreur.

Un affilié présumé d’ALPHA affirme qu’il s’est fait arnaquer de la prétendue rançon Optum de 22 millions de dollars

Les opérations de ransomware en tant que service (RaaS) fonctionnent généralement en partenariat avec des affiliés externes, qui mènent des attaques à l’aide des chiffrements de l’opération.

Les rançons reçues des victimes sont partagées entre les administrateurs du RaaS et l’affilié responsable de la violation et du déploiement du ransomware ou du vol de données.

Dans ce cas, il semble que l’affilié qui a volé des données à Change Healthcare se soit fait arnaquer. Ils affirment qu’après qu’Optum a payé une rançon de 22 millions de dollars, ALPHV a suspendu le compte de leur partenaire et a pris tout l’argent du portefeuille.

Sous le nom d’utilisateur “notchy”, la prétendue filiale d’ALPH affirme qu’elle dispose toujours de 4 To de “données critiques” d’Optum, les décrivant comme “des données de production qui affecteront tous les clients Change Healthcare et Optum.”

Ils prétendent disposer de données provenant de “dizaines de compagnies d’assurance” et d’autres fournisseurs d’une gamme de services allant des soins de santé à la gestion de trésorerie, en passant par les pharmacies.

Pour prouver leur affirmation, notchy a partagé une adresse de paiement en crypto-monnaie avec un total de neuf transactions, un transfert entrant initial de 350 bitcoins (un peu plus de 23 millions de dollars) et huit sortants.

L’adresse envoyant le bitcoin n’a que deux transactions, l’une recevant 350 bitcoins et l’autre les envoyant au prétendu portefeuille ALPHV.

Breachtrace a contacté la société mère d’Optum, UnitedHealth Group, au sujet des allégations selon lesquelles ils auraient payé une rançon et on lui a dit: « Nous nous concentrons sur l’enquête » et qu’aucun commentaire supplémentaire n’est disponible.

Bien que la direction prise par BlackCat ne soit pas claire, cette activité pourrait indiquer le début d’une escroquerie de sortie, où les opérations de ransomware volent la crypto-monnaie de leurs affiliés, puis arrêtent leurs opérations.

BlackCat est une nouvelle image de marque de l’opération de ransomware DarkSide, qui a également fermé ses portes après avoir affirmé que les forces de l’ordre avaient transféré la crypto-monnaie de leurs portefeuilles. Après la récente opération d’application de la loi qui a perturbé les serveurs de BlackCat, il ne serait pas surprenant de constater qu’ils font une réclamation similaire s’ils ferment.

Du Côté obscur à la Matière noire en passant par ALPHV
ALPHV / BlackCat a débuté en 2020 sous le nom de DarkSide. Un an plus tard, le gang a attaqué le pipeline Colonial, provoquant la panique et des pannes de gaz aux États-Unis.

Le gang de ransomwares a perdu l’accès à son infrastructure peu de temps après l’attaque, affirmant que son fournisseur d’hébergement avait bloqué l’accès aux serveurs.

À l’époque, le gang a également déclaré que les fonds sur leur serveur de paiement avaient mystérieusement disparu sur un compte inconnu.

L’opération de ransomware est réapparue quelques mois plus tard sous le nom de BlackMatter pour s’arrêter quatre mois plus tard, en novembre 2021, en raison de “la pression des autorités.”

Le gang a repris ses activités en février 2022 sous le nom ALPHV/BlackCat et a étendu son partenariat aux affiliés anglophones.

À la fin de l’année dernière, le FBI a annoncé qu’il avait piraté les serveurs du gang de ransomwares, surveillé leur activité et obtenu des clés de déchiffrement privées qui ont aidé plus de 400 victimes à récupérer leurs données gratuitement.

ALPHV a cependant restauré son infrastructure et a continué à violer les entreprises et à divulguer les données des victimes qui n’ont pas payé de rançon.

Cependant, un changement de marque peut être imminent.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *