Le groupe BlackCat Ransomware, également connu sous le nom d'AlphV, s'effondre brusquement après avoir reçu un paiement de 22 millions de dollars de Change Healthcare, le plus grand processeur de paiement des soins de santé aux États-Unis. Peu de temps après le paiement, un affilié prétend avoir été escroqué par le groupe, affirmant qu'AlphV a pris l'argent et disparu sans tenir sa part de l'accord. Des soupçons surgissent alors quant à la véritable nature de la disparition du groupe, alimentés par des preuves suggérant qu'AlphV aurait pu orchestrer un faux démantèlement pour garder la totalité du paiement. Cette série d'événements met en lumière les pratiques opaques des groupes de rançongiciels, tout en soulignant les enjeux croissants liés aux attaques informatiques dans le secteur de la santé.
Deux jours après le paiement, une personne prétendant être un affilié d'AlphV a déclaré sur un forum criminel en ligne que le paiement de près de 22 millions de dollars était lié à la violation de Change Healthcare. La partie a ajouté que les membres d'AlphV avaient escroqué l'affilié en le privant de la part du paiement convenue. La filiale a répondu qu'elle n'avait pas supprimé les données de Change Healthcare qu'elle avait obtenues.
Un message laissé sur un forum criminel par une personne prétendant être un affilié d'AlphV. Le message affirme qu'AlphV a escroqué l'affilié de sa part.
Le modèle RaaS et les tactiques sophistiquées de BlackCat Ransomware
BlackCat Ransomware est un groupe de cybercriminels qui se spécialise dans les attaques de rançongiciel, un type de cyberattaque où les données de la victime sont chiffrées et une rançon est exigée en échange de la clé de déchiffrement. Ce groupe opère selon un modèle de ransomware en tant que service (RaaS), où le groupe principal fournit le logiciel et l'infrastructure nécessaires aux attaques, tandis que des affiliés sont recrutés pour mener les attaques contre des cibles spécifiques. Les bénéfices sont ensuite partagés entre le groupe principal et les affiliés.
Le RaaS est un modèle commercial entre les opérateurs de ransomware et les affiliés dans lequel les affiliés paient pour lancer des attaques de ransomware développées par les opérateurs. Il s'agit d'une variante du modèle commercial SaaS (Software as a Service). Les kits RaaS permettent aux affiliés qui n'ont pas les compétences ou le temps nécessaires pour développer leur propre variante de rançongiciels d'être opérationnels rapidement et à un prix abordable. Ils sont faciles à trouver sur le dark web, où ils sont annoncés de la même manière que les biens sont annoncés sur le web légitime.
Un kit RaaS peut inclure une assistance 24/7, des offres groupées, des forums et d'autres fonctionnalités identiques à celles offertes par les fournisseurs SaaS légitimes. Le prix des kits RaaS varie de 40 dollars par mois à plusieurs milliers de dollars ; des montants insignifiants, si l'on considère que la demande de rançon moyenne en 2021 s'élevait à 6 millions de dollars. Un acteur de la menace n'a pas besoin que chaque attaque réussisse pour s'enrichir.
BlackCat/AlphV est réputé pour ses attaques sophistiquées utilisant un chiffrement capable de fonctionner sur des systèmes Windows et Linux. Le groupe utilise des tactiques telles que le chiffrement des données, la menace de les rendre publiques et des attaques par déni de service distribué (DDoS) contre l'infrastructure de la victime pour exercer une pression en vue du paiement de la rançon.
La séquence d'événements suggère qu'après avoir reçu les 22 millions de dollars, BlackCat/AlphV a choisi de se retirer, ou du moins de prendre une pause temporaire avant de potentiellement réapparaître sous une nouvelle identité, une pratique courante chez les groupes de rançongiciels lorsqu'ils sont sous pression des autorités. Au lieu de verser une part de cette somme à l'affilié, BlackCat/AlphV a opté pour garder l'intégralité du montant. De plus, au lieu d'être transparent sur leur retrait, BlackCat/AlphV a diffusé un faux avis de saisie pour donner l'impression qu'ils étaient sous le coup d'une intervention des forces de l'ordre.
Si ces spéculations se révèlent exactes, le point le plus saisissant de toute cette série d'événements serait sans doute la déclaration émanant de l'affilié sur un forum criminel. Cela suggère qu'une personne a déboursé 22 millions de dollars en échange de ses données avec la garantie qu'elles seraient effacées par des tiers. Sous le pseudonyme de « Notchy », cette personne prétend être en possession de 4 téraoctets de données « critiques » de Change Healthcare. Le FBI a révélé que plusieurs membres de BlackCat/AlphV entretiennent des liens avec d'autres groupes de rançongiciels, notamment DarkSide. Ces collaborations peuvent inclure le partage de techniques, d'outils et de ressources pour mener des attaques plus efficaces.
Déclaration du FBI et recommandations
En mars 2022, le ransomware BlackCat/ALPHV as a service (RaaS) avait compromis au moins 60 entités dans le monde entier et est le premier groupe de rançongiciel à le faire avec succès en utilisant RUST, considéré comme un langage de programmation plus sûr qui offre des performances améliorées et un traitement simultané fiable. Les acteurs de la menace affiliés à BlackCat demandent...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.