Interview : un pirate du groupe ALPHV raconte le business de sa bande

Un représentant du ransomware ‘ALPHV discute des plans du groupe spécialisé dans le rançonnage avec comme projet un métavers dédié aux rançongiciels !

ALPHV est un ransomware apparu l’année dernière. Il se distingue par sa sophistication et son code dans le langage de programmation Rust, une première pour un ransomware.

ALPHV n’est pas dès plus présent, à l’image de Lockbit 2.0 et Conti. Il n’empêche, les chats noirs ont l’intension de faire leur place comme ils l’ont expliqué à Dmitry Smilyanets, un spécialiste russe. L’interview a été menée en russe via la messagerie TOX (la même messagerie que j’utilise pour CONTI, Lockbit et antérieurement MAZE). ZATAZ a pu repérer dans son espace privé une vingtaine de victimes dont trois sociétés françaises et une canadienne. Ici aussi, des données volées diffusées comme échantillons et des menaces de diffusion de leur infiltration via les adresses électroniques exfiltrées « Vous pouvez être sûr que vos partenaires, clients et concurrents seront au courant de la fuite, car nous avons 4000 de leurs adresses e-mail qui seront notifiées » comme le montre ma capture écran ci-dessous.

ALPHV utiliserait une nouvelle méthode après que la société Russe Emisoft a découvert et exploité une faiblesse dans le ransomware de Darksode. Une annonce qui aurait obligé la création d’une nouvelle équipe et d’outils du nom d’ALPHV. Une bande apolitique. Uniquement du business !

ALPHV explique ne pas attaquer les institutions médicales publiques, les ambulances, les hôpitaux. Cette règle ne s’applique pas aux entreprises pharmaceutiques, aux cliniques privées.

Notre nom, de la communication

ALPHV n’aime pas son nom, n’aime pas non plus Black cat. « Nous aimerions l’éviter, mais la marque doit exister pour simplifier l’interaction avec les compagnies d’assurance et les entreprises de cyber qui aident au paiement. Notre unique identité est ALPHV. BlackCat a été inventé par Symantec« .  Black Cat est aussi le pseudonyme d’un des membres présent sur un forum pirate russophone.

ALPHV connecté avec d’autres groupes ? Le code et les procédures ressemblent aux méthodes de REvil et DarkSide. « Nous sommes tous connectés à GandCrab/REvil, BlackMatter/DarkSide, Maze/Egregor, Lockbit, etc., parce que nous sommes des executeurs ou des affiliés« .

ALPHV préparerait à un nouveau monde pour les affiliés premiums. « En plus des logiciels de haute qualité, pour les partenaires avancés, nous fournissons la gamme complète de services liés à la rançon — métaverse ou conciergerie premium — appelez ça comme vous voulez. Nous sommes dans une catégorie différente« .

Les pirates reviennent sur leur « partenaires » commerciaux d’aide à la récupération de donnée. Tout comme MAZE ou encore Sodinokibi, ALPHV ne cache pas le double discours de ces entreprises « Les sociétés de récupération avec lesquelles nous travaillons ne font que simplifier le processus. Ils ont leurs propres remises personnelles qui peuvent varier entre 20 et 40 % et l’ensemble du processus de récupération ne prend pas plus de 24 heures à partir du moment du premier contact.« 

Des changements ont également affecté le processus de négociation : les développeurs d’ALPHV ont introduit un jeton qui sert à créer une clé d’accès nécessaire pour entrer dans le chat ouvert pour les négociations. Bilan, il n’est plus possible de lire les négociations entre les malveillants et la victime sans ce précieux sésame que personne n’a envie de partager, ni les pirates, ni les victimes.

Un système fonctionnant par strates

Plus les affiliés rapportent de l’argent, plus ils disposent d’options. « La liste complète des options est disponible exclusivement pour les affiliés ayant atteint la barre des 1,5 million de dollars de rançons (cumulées). » Par exemple, des solutions externalisées pour les appels téléphoniques. « Si la communication avec la victime est perdue, vous pouvez essayer d’établir un contact par téléphone« . Des espaces de stockage des données volées est disponible.

Le pirate conclue l’entretien au sujet de l’enquête de Brian Krebs concernant son groupe. Une réponse sans appel « Les enquêtes des analystes de canapé amuseront toujours les natifs du darknet. Nous sommes bien au-delà de ce que M. Krebs peut imaginer. » (merci TRF)