Mardi, le département de la Justice des États-Unis a annoncé une campagne de perturbation contre le groupe de ransomware BlackCat qui sévit depuis fin 2021. Plus connu désormais sous le nom de ALPHV, il est considéré comme le deuxième ransomware-as-a-service le plus prolifique au monde.
Selon le FBI et à date de septembre 2023, les affiliés de ALPHV / BlackCat ont compromis plus d’un millier d’entités, dont près de 75 % aux États-Unis et y compris des infrastructures critiques. Les sommes exigées ont atteint plus de 500 millions de dollars, et ce sont près de 300 millions de dollars qui auraient été reçus en paiements de rançons.
Avec une adresse en .onion sur le réseau Tor, le site opéré par BlackCat pour les fuites de données a été saisi par les autorités. Dans le cadre de l’enquête, c’est toutefois l’infrastructure complète du groupe de ransomware qui aurait été mise au jour.
Pirater les pirates
Le FBI a identifié et recueilli 946 paires de clés publiques et privées pour des sites sur Tor utilisés par les cybercriminels pour les négociations avec les victimes, ou encore pour la communication avec des affiliés menant des cyberattaques.
Des clés de déchiffrement ont en outre été obtenues par le FBI et un outil de déchiffrement a été mis au point. Il a permis d’offrir à plus de 500 victimes du ransomware dans le monde la possibilité de restaurer leurs systèmes.
» En perturbant le groupe de ransomware BlackCat, le département de la Justice a une fois de plus piraté les pirates (hacked the hackers). […] Nous continuons à donner la priorité à de telles opérations et à placer les victimes au centre de notre stratégie visant à démanteler l’écosystème qui alimente la cybercriminalité « , déclare Lisa Monaco, procureure générale adjointe des États-Unis.
Des représailles de BlackCat
Selon BleepingComputer, ALPHV / BlackCat a débloqué son site de fuite de données sur Tor quelques heures après l’annonce des autorités américaines. » Étant donné que ALPHV et le FBI disposent actuellement des clés privées du site, ils peuvent prendre le contrôle du domaine l’un l’autre. «
Le groupe de ransomware assure en outre que le FBI n’avait obtenu l’accès à des clés de déchiffrement qu’au cours du dernier mois et demi, soit pour 400 entreprises. Plus de 3 000 autres victimes perdraient désormais leurs clés.
Pour les affiliés, toutes les restrictions auparavant imposées concernant les cyberattaques à mener seraient supprimées, à l’exception d’attaques contre les pays de la Communauté des États indépendants. Il est en outre fait miroiter des conditions tarifaires plus avantageuses sur les rançons versées. Reste à savoir si ALPHV / BlackCat peut encore avoir la confiance de ses affiliés…