Selon certaines rumeurs, une opération des forces de l’ordre serait à l’origine d’une panne affectant les sites Web du gang de ransomwares ALPHV au cours des 30 dernières heures.

Les sites de négociation et de fuite de données ALPHV (alias BlackCat) sont soudainement devenus indisponibles hier et restent indisponibles aujourd’hui.

Breachtrace a également confirmé que les URL de négociation Tor uniques partagées avec les victimes dans les notes de rançon sont également en panne, ce qui indique une perturbation de l’infrastructure publique du gang de ransomwares et un arrêt des négociations en cours.

Le site de fuite de données ALPHV n’est pas opérationnel

Interrogé hier sur la perturbation, l’administrateur d’ALPHV a déclaré à Breachtrace que les sites pourraient bientôt être de nouveau en ligne.

C’était il y a 20 heures et les sites restent indisponibles à cette heure.

Le statut Tox de l’administrateur affirme que l’opération répare leurs serveurs, mais ils n’ont pas répondu aux questions sur ce qui s’est passé.

Administrateur affichant « Réparation » comme statut Tox

Cependant, Breachtrace soupçonne que le gang de ransomwares aurait pu faire l’objet de mesures policières potentielles après leurs récentes activités, ce qui a également été évoqué par d’autres.

« J’ai entendu des rumeurs folles (et fortes) selon lesquelles ALPHV/Blackcat aurait reçu la visite du FBI », lit-on dans un tweet d’un certain Evangelos G.

Vendredi après-midi, la société de cybersécurité RedSense Intel a également confirmé à Breachtrace que les serveurs avaient été arrêtés en raison d’une action des forces de l’ordre.

« Aujourd’hui, RedSense peut confirmer que le site du gang de ransomwares ALPHV, alias BlackCat, a été supprimé par les forces de l’ordre », a également partagé RedSense dans un tweet sur X.

Breachtrace n’a pas été en mesure de confirmer de manière indépendante si le FBI avait violé les serveurs d’ALPHV et a refusé de commenter lorsqu’on l’a interrogé sur les pannes.

Cependant, des perturbations similaires ont été observées dans le passé en raison des opérations des forces de l’ordre.

Par exemple, lorsque le FBI a piraté les serveurs de REvil, il a obtenu les clés de décryptage des victimes de l’attaque du ransomware Kaseya.

De la même manière, le FBI a piraté l’infrastructure de Hive, obtenant secrètement des clés de décryptage et les diffusant aux victimes.

Un changement de marque en préparation
On pense que l’opération de rançongiciel ALPHV/BlackCat est une nouvelle image du gang DarkSide. L’opération a été lancée en 2020 et a rapidement pris de l’importance au cours de l’année suivante.

Cependant, après avoir attaqué Colonial Pipeline, le gang de ransomwares a fait l’objet d’une surveillance étroite de la part du gouvernement américain et des forces de l’ordre internationales, ce qui a finalement conduit à la saisie de leur infrastructure et à l’arrêt de l’opération.

Quelques mois plus tard seulement, le gang des ransomwares est revenu, cette fois sous le nom de BlackMatter. Cependant, les responsables de cette opération ont affirmé dans une interview qu’ils étaient des affiliés de l’opération DarkSide et non les dirigeants d’origine.

À peine quatre mois plus tard, BlackMatter a mis fin à ses activités en novembre 2021 après avoir affirmé subir la pression des forces de l’ordre.

En février 2022, le groupe de ransomwares est revenu à nouveau, cette fois sous le nom d’ALPHV, également connu sous le nom de BlackCat en raison d’une image utilisée sur leurs sites de négociation Tor.

Bien que ce changement de marque ait commencé comme la plupart des gangs de ransomwares, ciblant les entreprises dans le cadre d’attaques d’extorsion dans le monde entier, ils ont étendu leurs opérations en s’associant avec des filiales anglophones et en ciblant les infrastructures critiques, telles que les hôpitaux et les fournisseurs d’eau.

Pour cette raison, ce n’était qu’une question de temps avant qu’ils ne ressentent à nouveau l’attention des forces de l’ordre, qu’il s’agisse de cette perturbation ou d’une perturbation future.

Mise à jour du 10/12/23 : ajout de confirmations publiques supplémentaires indiquant que l’arrêt des serveurs est lié à une action des forces de l’ordre.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *