Alphv/BlackCat : déjà un retour déguisé ?

Le mardi 5 mars 2024, Alphv/BlackCat partait avec la caisse. Il venait de flouer un affidé de sa part d’une rançon de 22 millions de dollars, après avoir empoché la sienne pour au moins 10 millions extorqués depuis le début de l’année.

Près de deux ans plus tard, il préparerait son retour. C’est du moins ce que l’opérateur de l’enseigne a indiqué à VX-Underground. Et surtout ouvertement. Car selon diverses sources, Alphv aurait depuis opéré sous les bannières successives de RansomHub puis de DragonForce.

Selon VX-Underground, Alphv entend abandonner Tor au profit d’une chaîne de bloc : la blockchain ICP (Internet Computer Protocol). Et cela pour tout, depuis l’interface destinée aux affidés à celle de négociation.

Ironie du calendrier (ou pas), Alphv n’est pas le seul à s’intéresser à cette approche. Début décembre dernier, l’opérateur d’un nouveau programme de Ransomware en mode service (RaaS), Cry0, a détaillé ses ambitions avec ICP.

« Nous hébergeons des pages de discussion sur la blockchain ICP. Les victimes n’ont plus besoin de Tor : la page s’ouvre dans n’importe quel navigateur via un lien direct. Cela garantit une disponibilité à 100 % et une immunité totale contre les attaques DDoS. C’est le premier pas vers une décentralisation complète », expliquait-il alors dans une publication sur un forum fréquenté notamment par les cybercriminels. Cette approche rappelle celle de FileCoin, basé sur IPFS.

Le site vitrine est hébergé suivant le même concept, sur une blockchain, « ce qui le rend décentralisé, résistant à la censure et techniquement tolérant aux pannes ».

Et la question de la confiance des affidés ? Cry0 a une réponse : selon son modèle, l’affidé génère une paire de clés asymétriques et « seule la clé publique est transmise » à la franchise. Ainsi, « la clé de déchiffrement privée reste la propriété exclusive de l’affidé ». Dès lors, les « escroqueries sont impossibles en raison de la conception du système ».

Et pour les paiements ? « Nous utilisons notre propre contrat intelligent pour une distribution automatique et immuable des paiements ». À l’enregistrement d’une victime, l’affidé « spécifie des sous-comptes (partenaires, fournisseurs d’accès). Une fois la rançon payée, le montant est automatiquement réparti selon les parts spécifiées. Il est impossible de modifier la liste ou les parts après la création, ce qui garantit l’équité pour tous les participants », explique Cry0.

Dans l’écosystème cybercriminel, ce hasard de circonstances, entre les annonces Cry0 en décembre dernier, et le récent échange entre VX Underground et Alphv, soulève une question : Cry0 ne cacherait-il pas Alphv ? Le premier assure le contraire. Mais sans convaincre largement.