Les autorités américaines ont confirmé le démantèlement du gang de rançongiciel AlphV/BlackCat, notamment la saisie de plusieurs sites de fuite de données et de communication du groupe et la publication d’un décrypteur que les organisations victimes peuvent utiliser pour accéder à nouveau aux données brouillées.
Cette annonce survient après plus d’une semaine de silence sur le site de fuite de données du gang, laissant supposer qu’une action contre le gang prolifique avait eu lieu.
« En perturbant le gang de rançongiciel BlackCat, le ministère de la Justice a une fois de plus piraté les pirates », a déclaré la procureure générale adjointe des États-Unis, Lisa Monaco, dans un communiqué. « Grâce à un outil de décryptage fourni par le FBI à des centaines de victimes de rançongiciels dans le monde, les entreprises et les écoles ont pu rouvrir, et les soins de santé et les services d’urgence ont pu revenir en ligne. Nous continuerons de donner la priorité aux perturbations et de placer les victimes au centre de notre stratégie visant à démanteler l’écosystème qui alimente la cybercriminalité. »
L’outil de décryptage a été proposé à 400 victimes du gang.
Cependant, peu de temps après l’annonce du FBI, l’un des sites prétendument saisis affichait un nouveau message en russe indiquant qu’un nouveau site du gang avait été créé. La traduction dit : « Comme vous le savez tous, le FBI a reçu les clés de notre blog, nous allons maintenant vous raconter comment tout cela s’est passé ». Il affirme que même si les forces de l’ordre connaissent et peuvent aider 400 entreprises à décrypter leurs données brouillées, plus de 3 000 autres victimes ne peuvent pas être aidées.
En raison de l’action de la police, indique le site, le gang a supprimé toutes ses règles limitant les actions de ses affiliés. Cela signifie, selon le message, que rien n’arrête les attaques de rançongiciel contre les hôpitaux, les centrales nucléaires et d’autres organisations sensibles.
L’authenticité du message n’a pas pu être vérifiée par IT World Canada.
L’action internationale des forces de l’ordre a également impliqué le Bundeskriminalamt et la Zentrale Kriminalinspektion Göttingen d’Allemagne, l’Unité spéciale de lutte contre la criminalité du Danemark et la coopérative de police d’Europol. Les États-Unis ont déclaré que plusieurs autres groupes avaient fourni une aide et un soutien substantiels, notamment la police fédérale australienne, la National Crime Agency et l’Unité des opérations spéciales de la région de l’Est du Royaume-Uni, la Policia Nacional d’Espagne, la Kantonspolizei Thurgau de Suisse et la Direction générale des services de protection et de renseignement de l’État d’Autriche.
Le FBI affirme qu’au cours des 18 derniers mois, AlphV/BlackCat est devenu la deuxième variante de rançongiciel-service la plus prolifique au monde, sur la base des centaines de millions de dollars de rançons payés par les victimes. Parmi les derniers succès, citons le MGM Resort de Las Vegas. Après cet incident, le gang a déclaré que les clients ne devraient pas lui reprocher de perdre de l’argent sur les réservations, car la fermeture de l’hôtel et du casino était la décision de la direction.
Cette opération policière interinstitutionnelle et multi juridictionnelle « couronne un record historique de suppressions de rançongiciels réalisées en 2023 », a commenté Ilia Kolochenko, PDG d’ImmuniWeb. « Il s’agit d’un excellent exemple de la manière dont une coopération bien coordonnée entre les autorités de l’UE, du Royaume-Uni et des États-Unis, avec le soutien d’agences transnationales telles qu’Europol, produit des résultats efficaces et ralentit la pandémie croissante de rançongiciels et les campagnes de piratage connexes. »
« Cela dit, la perturbation des infrastructures de la cybercriminalité et les arrestations sélectives de membres identifiables de cyber-gangs sont rarement suffisantes. Par exemple, un nombre considérable de forums ou de places de marché de piratage saisis ont ressuscité quelques semaines après la saisie sous une identité similaire ou nouvelle. Au milieu de l’incertitude géopolitique mondiale, de nombreux groupes de cybercriminalité opèrent en toute sécurité et en toute impunité à partir de juridictions non extradables. »
À moins que les États-nations ne parviennent à élaborer une convention véritablement mondiale contre la cybercriminalité qui serait ratifiée par tous les États membres de l’ONU, a-t-il prévenu, la bataille contre la cybercriminalité organisée sera comme combattre une hydre immortelle.
Cet avertissement intervient alors que les nations se préparent à une dernière session de négociation, fin janvier, sur un projet de traité international sur la cybercriminalité. La semaine dernière, le Cybersecurity Tech Accord, un groupe de sociétés informatiques de premier plan, dont Microsoft, Cisco Systems et Oracle, s’est plaint que la dernière version du projet « affaiblirait considérablement la cybersécurité, éroderait la confidentialité des données et porterait atteinte aux droits et libertés en ligne dans le monde entier ».
Il s’agit d’une victoire pour les forces de l’ordre et marque presque certainement la fin d’AlphV en tant que marque, a déclaré Brett Callow, chercheur en menaces basé au Canada pour Emsisoft. « Personne ne voudra faire des affaires avec une organisation qui a été compromise. En fait, leurs associés et sociétés affiliées se demanderont déjà quelles informations les forces de l’ordre ont obtenues et si certaines d’entre elles les désignent – ce qui n’est pas du tout improbable. »
« Malheureusement, il est peu probable que les individus derrière AlphV soient définitivement exclus du jeu des rançongiciels. Ils vont probablement créer une nouvelle organisation avec un nouveau nom. Mais même s’ils le font, cela reste une grande victoire pour les bons et une grosse perte pour les méchants. »
Un mandat de perquisition utilisé pour soutenir l’action du FBI contre AlphV/BlackCat indique que l’agence s’est appuyée en partie sur une source humaine confidentielle « qui fournit régulièrement des informations fiables liées aux enquêtes en cours sur la cybercriminalité ».
La source avait répondu à une annonce publique publiée par le gang de rançongiciel pour des affiliés potentiels. Après avoir passé un entretien, la source a reçu des informations d’identification d’accès au système d’affiliation de BlackCat en utilisant une adresse .onion unique.
Les sites saisis par les forces de l’ordre étaient cachés sur le réseau Tor. Mais grâce à son enquête et à la source, le FBI a pu collecter 946 paires de clés publiques/privées pour les sites Tor que le gang de rançongiciel utilisait pour héberger les sites de communication des victimes, les sites de fuite et les panels affiliés.
Adaptation et traduction française par Renaud Larue-Langlois.