BlackCat a-t-il épuisé ses sept vies malveillantes ?

Les sites Internet du groupe de rançongiciels ALPHV (également connu sous le nom de BlackCat) sont indisponibles depuis plusieurs jours. Cette défaillance s’est produite de manière soudaine, suscitant des soupçons quant à une possible intervention des forces de l’ordre.

Les sites de négociation et de fuite du groupe ALPHV (également connu sous le nom de BlackCat ou Noberus) sont devenus brusquement inaccessibles le 7 décembre et demeurent inaccessibles jusqu’à ce jour. Les URL de négociation Tor uniques, figurant dans les notes de rançon, ne sont plus actives. Cette panne semble indiquer un dysfonctionnement au sein de l’infrastructure publique du groupe. Il est remarquable que si les canaux de communication des cybercriminels sont hors service, il n’est plus possible de négocier avec les entreprises victimes. Cela soulève la question de savoir si le FBI, la Gendarmerie Nationale, la Police Nationale ou d’autres agences gouvernementales ont pu accéder aux serveurs de BlackCat.

Cette année, le FBI a réussi à mettre fin aux activités de HIVE, en infiltrant le groupe (probablement en recrutant l’un des affiliés), en gagnant la confiance des pirates, et en découvrant leurs secrets les plus sensibles. Après six mois de surveillance, en janvier 2023, les criminels ont été arrêtés, et leur infrastructure informatique a été démantelée. RagnarLocker et Goga Locker ont également connu une fin similaire.

Les quatre espaces pirates d’ALPHV sont hors service. Les deux moteurs de recherche qui affichaient plusieurs millions de documents sont toujours actifs, mais ils ont été entièrement vidés de leurs contenus, qui avaient été volés à 701 entreprises piratées par BlackCat (selon les données de ZATAZ). Parmi les victimes figurent la Municipalité de Quito, CBS, Conforama, Solar Industrie, ainsi que plusieurs banques. L’un des domaines darkweb de BlackCat affichait récemment le titre « start-maximized.com ». La suite de cette affaire devrait bientôt apporter des réponses à cette mystérieuse disparition. Il est à noter que d’autres groupes ont également disparu de la circulation, sans raison apparente.

ALPHV est écrit en langage de programmation Rust et est compatible avec les systèmes d’exploitation tels que Windows, Linux (Debian, Ubuntu, ReadyNAS, Synology) et VMWare ESXi. ALPHV est commercialisé sous le nom d’ALPHV sur les forums criminels en ligne. Le déploiement d’ALPHV a débuté en novembre 2021, soit deux ans avant cette soudaine disparition. ALPHV peut être configuré pour chiffrer des fichiers en utilisant les algorithmes AES ou ChaCha20.

Pendant ce temps

Selon les données de chercheurs, depuis avril 2022, le groupe de pirates russophones Black Basta aurait extorqué plus de 107 millions de dollars de rançons, en piratant plus de 90 victimes sur cette période. Le paiement le plus élevé aurait atteint 9 millions de dollars, tandis que le montant moyen de la rançon s’établissait à 1,2 million de dollars. Depuis l’émergence de Black Basta en 2022, plus de 329 organisations dans le monde ont été attaquées par ces hackers malveillants. Le groupe pratique la « double extorsion » classique, en chiffrant les fichiers sur les systèmes des victimes, puis en volant leurs données.

Ces informations volées sont ensuite utilisées pour faire pression sur les victimes, les incitant à payer une rançon ou menaçant de publier les données volées sur le site Black Basta du dark web. Sur la base du nombre de victimes répertoriées sur le site Internet du groupe au troisième trimestre 2023, il apparaît qu’au moins 35 % des victimes connues de Black Basta ont effectivement payé une rançon pour récupérer l’accès à leurs données.

Il est à noter que les opérateurs de Black Basta sont responsables du piratage d’entreprises aussi renommées que ABB, Knauf, l’American Dental Association, ainsi que Sobeys Pages Jaunes Canada.