Débranché par le FBI, le gang Alphv/BlackCat se rebiffe

Le gang de rançongiciels Alphv/BlackCat montre les dents. La saisie de leur site Tor par le FBI, mardi dernier, a été suivie par une passe d’armes entre les cybercriminels et les autorités judiciaires. Comme l’ont remarqué les chercheurs en sécurité de VX Underground, le gang a réussi brièvement à reprendre au moins deux fois la main sur son domaine.

Les cybercriminels en ont profité au passage pour jouer l’escalade. “Nous supprimons toutes les règles, sauf une”, s’attaquer à des organisations basées dans la Communauté des Etats indépendants (CEI), qui rassemble une partie des anciennes républiques soviétiques. “Vous pouvez désormais bloquer des hôpitaux ou des centrales nucléaires, n’importe quoi, n’importe où”, menacent-ils.

Seconde franchise

Alphv/BlackCat était considéré par le ministère de la justice américain comme la seconde franchise de rançongiciel la plus active du moment. Avec un millier de victimes, aux trois-quart aux Etats-Unis, mais avec quand même quelques victimes françaises, dont Corsica Ferries, Mazars Group ou l’électronicien Lacroix Electronics, ce gang de cybercriminels aurait réussi à récolter environ 300 millions de dollars de rançons.

Toutefois, les agents du FBI de Miami, en charge de l’enquête aux Etats-Unis, ont coupé à plusieurs reprises l’herbe sous le pied des cybercriminels.

Grâce à la mise au point d'un outil de déchiffrement, désormais accessible à la moitié des victimes du gang, ils ont pu aider une dizaine de victimes à restaurer leurs données, évitant le paiement de 68 millions de dollars de rançons.

Double extorsion 

Assez classiquement, les cybercriminels d’Alphv/BlackCat pratiquaient la double extorsion. Outre le chiffrement de données, ils menaçaient leurs victimes de publier les fichiers volés sur leur site internet. Leur rançongiciel se distinguait notamment par le langage de programmation utilisé, Rust, un outil malveillant qui visait autant des systèmes Windows que Linux.

Le gang avait également fait récemment un signalement effronté auprès du régulateur américain des marchés financiers pour se plaindre d’une de leur victime qui n’aurait pas respecté le délai de notification d’une attaque informatique.

La saisie du site internet des cybercriminels a mobilisé, outre le FBI, l’Allemagne, l’Australie, le Danemark, l’Espagne et le Royaume-Uni. Cette opération internationale a été boostée par une source confidentielle proche du gang, selon le mandat de perquisition américain. Cette dernière a ainsi fourni des tuyaux pour accéder au panel d’administration accessible aux affiliés, ces franchisés qui utilisent l'infrastructure criminelle pour lancer des opérations d’extorsion.