Ransomware : Alphv confirme partir avec la caisse

Ce mardi 5 mars au matin, stupeur parmi ceux qui suivent attentivement les sites vitrine des enseignes de rançongiciel : celui de Alphv/BlackCat affiche une page faisant état d’une saisie par les forces de l’ordre.

Cette page est la même que celle affichée par la précédente franchise de l’enseigne, saisie fin décembre dernier. À tel point que certains experts se font circonspects, à l’instar de Fabian Wosar, d’Emsisoft. Sur X (anciennement Twitter), il attire l’attention sur le code HTML de la page affichée par la vitrine : il présente les caractéristiques d’une page Web sauvegardée dans son intégralité par Firefox ou Tor Browser. 

« Pourquoi les forces de l’ordre utiliseraient-elles un scrape de site Web ? », interroge-t-il. Pour lui, cela ne fait pas de doute : Alphv cherche à brouiller les pistes. Une analyse confirmée par l’intéressé lui-même sur le forum où un affidé l’avait tout récemment accusé de l’avoir floué.

Là, l’opérateur de la franchise confirme mettre un terme définitif à son « projet » : « nous pouvons officiellement déclarer que les feds nous [ont eus] ». 

Alphv aurait récemment floué un affidé de sa part d’une rançon de 22 millions de dollars, et empoché la sienne pour au moins 10 millions extorqués depuis le début de l’année. Mais pas question de filer avec uniquement ces fonds ; lesquels risquent d’ailleurs de s’avérer difficiles à utiliser sans laisser des traces, qui seront suivies de très près. 

Alphv dit donc chercher à vendre son code source, affichant un prix de départ de 5 millions de dollars. Il affirme que des « négociations sont en cours ».