Clients et employés d’une victime de BlackCat ont pu vérifier s’ils étaient concernés

Un affidé de la franchise mafieuse Alphv/BlackCat vient de faire monter d’un cran la pression sur sa victime : il vient d’ouvrir un site Web où les employés et clients de sa victime peuvent chercher leur nom afin de savoir si des données personnelles leur appartenant ont été compromises à l’occasion de la cyberattaque.

Au cours des dernières années, des groupes ont eu recours à des méthodes d’extorsion de plus en plus audacieuses, dont des attaques par déni de service distribué (DDoS), l’approche directe des clients des victimes ou de leurs employés, par e-mail ou téléphone, voire par impression sur des tickets de caisse. Mais aucun n’était allé jusqu’à mettre en place un site Web permettant à chacun de vérifier s’il est concerné par le vol de données subi par la victime du ransomware.

Le site en question en outre facilement accessible : il utilise un nom de domaine comparable à celui, légitime, de la victime, mais sur une extension différente. Le nom de domaine correspondant a toutefois été rapidement mis hors service.

Le collectif MalwareHunterTeam et Recorded Future ont découvert le ransomware BlackCat à la fin de l’année dernière. Les équipes du second ont relevé des annonces de recrutement d’affidés sur deux forums régulièrement fréquentés par les cyberdélinquants. Publiées par un acteur au pseudonyme Alphv, elles en appelaient aux spécialistes de l’intrusion compétents sur les systèmes Windows et Linux, ainsi que sur les environnements virtualisés VMware ESXi.

BlackCat constitue une nouvelle franchise de ransomware en mode service (RaaS) pratiquant la double extorsion : les données volées dans le système d’information des victimes résistant au chantage seront divulguées.

L’attaque conduite fin janvier contre Oiltanking et Mabanaft, outre-Rhin, deux filiales du groupe Marquard & Bahls, a été attribuée à Alphv, selon nos confrères du Handelsblatt. Selon Varonis, les opérateurs de cette franchise malveillante « recrutent activement des anciens de REvil, BlackMatter et DarkSide ». Le groupe était clairement soupçonné de n’être qu’une émanation des défunts DarkSide/BlackMatter – ce qu’il a confirmé. Mais il assure recruter au-delà, jusqu’auprès d’anciens de Maze/Egregor et LockBit, notamment. Selon AdvIntel, des membres du groupe Conti se seraient récemment tournés vers BlackCat. Microsoft a récemment confirmé cette analyse.

Depuis son apparition, Alphv/BlackCat a au moins fait près de 110 victimes à travers le monde. Huit sont connues en France, dont, tout récemment, l’École des ingénieurs de la Ville de Paris (EIVP), ainsi que les entreprises de services numériques (ESN) Inetum et Akka Technologies.