Après l’exit-scam d’Alphv, un affidé floué part chez RansomHub

Surprise, ce lundi 8 avril : la revendication d’une cyberattaque contre l’Américain Change Healthcare apparaît sur le site vitrine de RansomHub. Mais quelque chose ne va pas.

Change Healthcare a bien été victime d’une cyberattaque, mais fin février : le 21 février 2024, à 2h15, heure de la côte Est des États-Unis, l’entreprise annonce, sur une page dédiée à l’état de ses services, que « certaines applications sont actuellement indisponibles ».

Sur une page dédiée à l’incident, Change Healthcare se dira, le 29 février, en début de matinée, ouvertement victime d’une « attaque ». Le nom de la franchise mafieuse impliquée sera alors indiqué : Alphv/BlackCat. Une revendication avait été publiée la veille sur le site vitrine de la franchise. Les assaillants disaient avoir volé au passage quelque 6 To de données, ainsi que du code source. 

Quelques jours plus tard, l’opérateur de la franchise partira avec la caisse, maquillant grossièrement l’opération pour faire croire – peu longtemps – à une opération de police. Pourquoi ? Parce qu’il aurait décidé de garder pour lui la totalité des 22 millions de dollars d’une rançon tout juste payée. 

L’affidé ainsi floué s’en était plaint publiquement, sur un forum spécialisé, quelques jours plus tôt : selon lui, les opérateurs d’Alphv l’ont arnaqué de sa part du butin de 22 millions de dollars extorqué à Change Healthcare, ou plutôt sa filiale Optum.

Et c’est justement à cela que fait référence la publication de ce 8 avril sur le site vitrine de RansomHub : « Alphv a volé la rançon payée par Change Healthcare […] pour restaurer leurs systèmes et prévenir la divulgation de données. Mais nous avons les données, et pas Alphv ».

En somme, l’affidé « lésé » ne compte pas en rester là et mise sur RansomHub pour tenter d’escroquer… Change Healthcare à nouveau. Les opérateurs de la franchise RansomHub ont, de leur côté, assuré avoir recruté « plusieurs » anciens affidés de Alphv.