Interview : un pirate du groupe ALPHV raconte le business de sa bande

Posted On 12 Fév 2022

Un représentant du ransomware ‘ALPHV discute des plans du groupe spécialisé dans le rançonnage avec comme projet un métavers dédié aux rançongiciels !

ALPHV est un ransomware apparu l’année dernière. Il se distingue par sa sophistication et son code dans le langage de programmation Rust, une première pour un ransomware.

ALPHV n’est pas dès plus présent, à l’image de Lockbit 2.0 et Conti. Il n’empêche, les chats noirs ont l’intension de faire leur place comme ils l’ont expliqué à Dmitry Smilyanets, un spécialiste russe. L’interview a été menée en russe via la messagerie TOX (la même messagerie que j’utilise pour CONTI, Lockbit et antérieurement MAZE). ZATAZ a pu repérer dans son espace privé une vingtaine de victimes dont trois sociétés françaises et une canadienne. Ici aussi, des données volées diffusées comme échantillons et des menaces de diffusion de leur infiltration via les adresses électroniques exfiltrées « Vous pouvez être sûr que vos partenaires, clients et concurrents seront au courant de la fuite, car nous avons 4000 de leurs adresses e-mail qui seront notifiées » comme le montre ma capture écran ci-dessous.

ALPHV utiliserait une nouvelle méthode après que la société Russe Emisoft a découvert et exploité une faiblesse dans le ransomware de Darksode. Une annonce qui aurait obligé la création d’une nouvelle équipe et d’outils du nom d’ALPHV. Une bande apolitique. Uniquement du business !

ALPHV explique ne pas attaquer les institutions médicales publiques, les ambulances, les hôpitaux. Cette règle ne s’applique pas aux entreprises pharmaceutiques, aux cliniques privées.

Notre nom, de la communication

ALPHV n’aime pas son nom, n’aime pas non plus Black cat. « Nous aimerions l’éviter, mais la marque doit exister pour simplifier l’interaction avec les compagnies d’assurance et les entreprises de cyber qui aident au paiement. Notre unique identité est ALPHV. BlackCat a été inventé par Symantec« . Black Cat est aussi le pseudonyme d’un des membres présent sur un forum pirate russophone.

ALPHV connecté avec d’autres groupes ? Le code et les procédures ressemblent aux méthodes de REvil et DarkSide. « Nous sommes tous connectés à GandCrab/REvil, BlackMatter/DarkSide, Maze/Egregor, Lockbit, etc., parce que nous sommes des executeurs ou des affiliés« .

ALPHV préparerait à un nouveau monde pour les affiliés premiums. « En plus des logiciels de haute qualité, pour les partenaires avancés, nous fournissons la gamme complète de services liés à la rançon — métaverse ou conciergerie premium — appelez ça comme vous voulez. Nous sommes dans une catégorie différente« .

Les pirates reviennent sur leur « partenaires » commerciaux d’aide à la récupération de donnée. Tout comme MAZE ou encore Sodinokibi, ALPHV ne cache pas le double discours de ces entreprises « Les sociétés de récupération avec lesquelles nous travaillons ne font que simplifier le processus. Ils ont leurs propres remises personnelles qui peuvent varier entre 20 et 40 % et l’ensemble du processus de récupération ne prend pas plus de 24 heures à partir du moment du premier contact.«

Des changements ont également affecté le processus de négociation : les développeurs d’ALPHV ont introduit un jeton qui sert à créer une clé d’accès nécessaire pour entrer dans le chat ouvert pour les négociations. Bilan, il n’est plus possible de lire les négociations entre les malveillants et la victime sans ce précieux sésame que personne n’a envie de partager, ni les pirates, ni les victimes.

Un système fonctionnant par strates

Plus les affiliés rapportent de l’argent, plus ils disposent d’options. « La liste complète des options est disponible exclusivement pour les affiliés ayant atteint la barre des 1,5 million de dollars de rançons (cumulées). » Par exemple, des solutions externalisées pour les appels téléphoniques. « Si la communication avec la victime est perdue, vous pouvez essayer d’établir un contact par téléphone« . Des espaces de stockage des données volées est disponible.

Le pirate conclue l’entretien au sujet de l’enquête de Brian Krebs concernant son groupe. Une réponse sans appel « Les enquêtes des analystes de canapé amuseront toujours les natifs du darknet. Nous sommes bien au-delà de ce que M. Krebs peut imaginer. » (merci TRF)

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.