Ransomware : Alphv/BlackCat, touché et presque coulé ?

La rumeur courait depuis début décembre : une opération des forces de l’ordre aurait mis à mal la franchise mafieuse Alphv/BlackCat. 

Celle-ci a souffert d’indisponibilités relativement peu habituelles de son site vitrine, mais également de son interface de négociation. Depuis, la vitrine est réapparue, initialement vide, avec désormais des revendications pour 5 victimes. 

Et la rumeur était fondée. Vers 13h, heure de Paris, le site vitrine d’Alphv/BlackCat a commencé à afficher un message annonçant sa saisie par les forces de l’ordre. Le FBI, le ministère américain de la Justice, Europol, mais également plusieurs unités allemandes de police, ou encore la National Crime Agency britannique, entre autres, sont présentées comme impliquées. 

Dans un échange sur la messagerie chiffrée Tox, l’opérateur de la franchise estime que les forces de l’ordre ont « vraisemblablement » obtenu la clé du domaine Tor de sa désormais disparue vitrine « via l’hébergeur ». À la question de savoir si le même intermédiaire aurait permis d’accéder à plus que cela, l’opérateur reste silencieux. Il n’a pas non plus fourni le nom de l’hébergeur concerné. Avec sa nouvelle vitrine, il l’assure : « tout est nouveau avec nous ».

Reste à savoir si l’opérateur de la franchise Alphv/BlackCat saura maintenir – voire reconquérir – la confiance des affidés. Ces derniers sont susceptibles de suspecter que la saisie désormais officielle a permis d’obtenir des informations additionnelles sur eux, voire un accès durable au sein de l’infrastructure de la franchise, au point de pouvoir réitérer leur exploit avec la nouvelle. 

L’opérateur de la franchise concurrente LockBit 3.0 avait déjà, mi-décembre, adressé un message aux affidés d’Alphv/BlackCat, les invitant à changer de crémerie.

Le 6 décembre, une revendication de cyberattaque contre l’agence allemande de l’énergie était publiée sur le site vitrine d’Alphv/BlackCat. L’attaque est survenue environ trois semaines plus tôt. Mais le mercredi 13 décembre, une autre revendication, pour cette même victime, est apparue sur le site vitrine de LockBit 3.0.

Interrogé alors au sujet d’un éventuel transfuge parmi ses affidés, l’opérateur de la franchise Alphv s’était contenté d’un laconique : « je ne sais pas ». 

Dans un échange avec VX-Underground, l’opérateur de la franchise Alphv/BlackCat a affirmé avoir déjà effacé, « depuis longtemps », la clé obtenue par les forces de l’ordre. Avec LeMagIT, la version est légèrement différente : « nous avons aussi la clé ; nous pouvons l’effacer ; nous allons le faire maintenant ».

Mais le coup porté à Alphv/BlackCat apparaît bien plus sérieux que ne semble vouloir l’admettre son opérateur. Ainsi, le ministère de la Justice américain indique avoir frappé la franchise en profondeur. Si Alphv a fait plus de 1 000 victimes à travers le monde, un outil de déchiffrement, développé par le FBI, va être mis à disposition pour plus de 500 d’entre elles. 

Déjà, « à ce jour, le FBI a travaillé avec des dizaines de victimes aux États-Unis et à l’étranger pour mettre en œuvre cette solution, ce qui a permis à de nombreuses victimes d’échapper à des demandes de rançon d’un montant total d’environ 68 millions de dollars »..