BlackCat a-t-il épuisé ses sept vies malveillantes ?

Posted On 12 Déc 2023

Les sites Internet du groupe de rançongiciels ALPHV (également connu sous le nom de BlackCat) sont indisponibles depuis plusieurs jours. Cette défaillance s’est produite de manière soudaine, suscitant des soupçons quant à une possible intervention des forces de l’ordre.

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS

Vous aimez nos actus inédites ? ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS Recevez gratuitement, le samedi, PAR MAIL LES ACTUS ZATAZ de la semaine écoulée.

Les sites de négociation et de fuite du groupe ALPHV (également connu sous le nom de BlackCat ou Noberus) sont devenus brusquement inaccessibles le 7 décembre et demeurent inaccessibles jusqu’à ce jour. Les URL de négociation Tor uniques, figurant dans les notes de rançon, ne sont plus actives. Cette panne semble indiquer un dysfonctionnement au sein de l’infrastructure publique du groupe. Il est remarquable que si les canaux de communication des cybercriminels sont hors service, il n’est plus possible de négocier avec les entreprises victimes. Cela soulève la question de savoir si le FBI, la Gendarmerie Nationale, la Police Nationale ou d’autres agences gouvernementales ont pu accéder aux serveurs de BlackCat.

Cette année, le FBI a réussi à mettre fin aux activités de HIVE, en infiltrant le groupe (probablement en recrutant l’un des affiliés), en gagnant la confiance des pirates, et en découvrant leurs secrets les plus sensibles. Après six mois de surveillance, en janvier 2023, les criminels ont été arrêtés, et leur infrastructure informatique a été démantelée. RagnarLocker et Goga Locker ont également connu une fin similaire.

Les quatre espaces pirates d’ALPHV sont hors service. Les deux moteurs de recherche qui affichaient plusieurs millions de documents sont toujours actifs, mais ils ont été entièrement vidés de leurs contenus, qui avaient été volés à 701 entreprises piratées par BlackCat (selon les données de ZATAZ). Parmi les victimes figurent la Municipalité de Quito, CBS, Conforama, Solar Industrie, ainsi que plusieurs banques. L’un des domaines darkweb de BlackCat affichait récemment le titre « start-maximized.com ». La suite de cette affaire devrait bientôt apporter des réponses à cette mystérieuse disparition. Il est à noter que d’autres groupes ont également disparu de la circulation, sans raison apparente.

ALPHV est écrit en langage de programmation Rust et est compatible avec les systèmes d’exploitation tels que Windows, Linux (Debian, Ubuntu, ReadyNAS, Synology) et VMWare ESXi. ALPHV est commercialisé sous le nom d’ALPHV sur les forums criminels en ligne. Le déploiement d’ALPHV a débuté en novembre 2021, soit deux ans avant cette soudaine disparition. ALPHV peut être configuré pour chiffrer des fichiers en utilisant les algorithmes AES ou ChaCha20.

Pendant ce temps

Selon les données de chercheurs, depuis avril 2022, le groupe de pirates russophones Black Basta aurait extorqué plus de 107 millions de dollars de rançons, en piratant plus de 90 victimes sur cette période. Le paiement le plus élevé aurait atteint 9 millions de dollars, tandis que le montant moyen de la rançon s’établissait à 1,2 million de dollars. Depuis l’émergence de Black Basta en 2022, plus de 329 organisations dans le monde ont été attaquées par ces hackers malveillants. Le groupe pratique la « double extorsion » classique, en chiffrant les fichiers sur les systèmes des victimes, puis en volant leurs données.

Ces informations volées sont ensuite utilisées pour faire pression sur les victimes, les incitant à payer une rançon ou menaçant de publier les données volées sur le site Black Basta du dark web. Sur la base du nombre de victimes répertoriées sur le site Internet du groupe au troisième trimestre 2023, il apparaît qu’au moins 35 % des victimes connues de Black Basta ont effectivement payé une rançon pour récupérer l’accès à leurs données.

Il est à noter que les opérateurs de Black Basta sont responsables du piratage d’entreprises aussi renommées que ABB, Knauf, l’American Dental Association, ainsi que Sobeys Pages Jaunes Canada.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.