Ransomware : Alphv lancé dans un « exit scam » ?

C’est Dmitry Smilyanets, analyste chez Recorded Future, qui révèle l’information : sur un forum bien connu des cybercriminels – et des chercheurs en cybersécurité – apparaît une plainte à l’encontre des opérateurs de la franchise Alphv, aussi connue sous le nom de BlackCat.

L’intéressé n’y va pas par quatre chemins : selon lui, les opérateurs d’Alphv l’ont arnaqué de sa part du butin de 22 millions de dollars extorqué à Change Healthcare, ou plutôt sa filiale Optum. Depuis le 20 février, celle-ci se démène pour relancer son système d’information et, en particulier, des applications qui sont très largement utilisées dans les pharmacies et les hôpitaux, aux États-Unis, pour la gestion des prescriptions. 

Face la situation et à ses répercutions considérables, Change Healthcare aurait décidé de céder au chantage, selon l’affidé Alphv mécontent, et de verser une rançon de 22 millions de dollars. Pour appuyer ses allégations, l’affidé concerné fournit ouvertement l’adresse Bitcoin sur laquelle a été versée la rançon en question : 14Q5xgBHAkWxDVrnHautcm4PPGmy5cfw6b.

Cette adresse est intéressante, en elle-même, mais les flux financiers qui en partent intéresseront probablement au plus haut point les forces de l’ordre. Lesquelles s’attacheront vraisemblablement à en obtenir la saisie, même partielle, à la moindre erreur de l’opérateur de la franchise Alphv.

De son point de départ, l’argent reçu a été réparti à parts égales sur 7 adresses, sauf une, qui n’en a reçu qu’une toute petite partie : 1FAoHoMv3Z93M6UDJNE32o6wLYDbmmq2hq. Mais ce n’est peut-être pas la moins intéressante.

Cette adresse a également reçu des fonds sur plusieurs autres adresses Bitcoin, lesquels semblent être (au moins pour certaines transactions) des parts de paiements de rançon :

• environ 3,5 millions de dollars, le 6 janvier 2024 ;
• environ 500 000 $, le 16 janvier 2024 ;
• environ 500 000 $, le 17 janvier 2024 ;
• environ 1 million de dollars, le 31 janvier 2024 ;
• environ 500 000 $, le 31 janvier 2024 ;
• environ 1,5 million de dollars, le 14 février 2024 ;
• environ 600 000 $, le 14 février 2024 ;
• environ 750 000 $, le 25 février 2024.

Soit au total près de 10 millions de dollars de rançons collectées par la franchise, a minima, depuis le début de l’année, en plus des 22 millions payés par Optum.

Ces chiffres peuvent paraître très élevés, mais ils ne sont guère surprenants. Récemment, l’opération Cronos contre LockBit a fait ressortir un trésor de guerre de l’ordre de 2 200 btc, au moins. En janvier 2023, un ex-Conti consolidait un butin d’un montant du même ordre de grandeur.

Début décembre dernier, les opérateurs de la franchise NoEscape sont partis avec la caisse, procédant à ce qui est désigné sous le terme de « exit scam ». D’aucuns suspectent une opération comparable en préparation avec Alphv, à moins qu’un changement de marque ne soit en préparation.