Le Ransomware BlackCat Fait Monter Les Enchères Après La Perturbation Du FBI

Les Bureau fédéral d'Enquête des États-Unis (FBI) a révélé aujourd'hui qu'il avait infiltré le deuxième gang de ransomwares le plus prolifique au monde, un groupe criminel basé en Russie connu sous le nom de ALPHV et Chat Noir. Le FBI a déclaré avoir saisi le site Web darknet du gang et publié un outil de décryptage que des centaines d'entreprises victimes peuvent utiliser pour récupérer des systèmes. Pendant ce temps, BlackCat a répondu en “désinscrivant” brièvement son site darknet avec un message promettant des commissions de 90 pour cent pour les affiliés qui continuent à travailler avec le groupe criminel, et une saison ouverte sur tout, des hôpitaux aux centrales nucléaires.

Une version légèrement modifiée de l'avis de saisie du FBI sur le site BlackCat darknet (ajout des casquettes du Père Noël).

Des rumeurs d'une éventuelle action des forces de l'ordre contre BlackCat sont apparues au cours de la première semaine de décembre, après que le site darknet du groupe de ransomwares se soit déconnecté et soit resté indisponible pendant environ cinq jours. BlackCat a finalement réussi à remettre son site en ligne, imputant la panne à dysfonctionnements de l'équipement.

Mais plus tôt dans la journée, le site Web BlackCat a été remplacé par un avis de saisie du FBI, tandis que les procureurs fédéraux de Floride ont publié un mandat de perquisition expliquant comment les agents du FBI ont pu accéder aux opérations du groupe et les perturber.

A déclaration sur l'opération à partir du Département de la Justice des États-Unis dit que le FBI a développé un outil de décryptage qui a permis aux bureaux extérieurs de l'agence et aux partenaires du monde entier d'offrir à plus de 500 victimes touchées la possibilité de restaurer leurs systèmes.

"Grâce à un outil de décryptage fourni par le FBI à des centaines de victimes de ransomwares dans le monde entier, les entreprises et les écoles ont pu rouvrir, et les services de santé et d'urgence ont pu revenir en ligne"” Procureur Général Adjoint Lisa O. Monaco dit. "Nous continuerons à prioriser les perturbations et à placer les victimes au centre de notre stratégie de démantèlement de l'écosystème alimentant la cybercriminalité.”

Le ministère de la Justice rapporte que depuis la formation de BlackCat il y a environ 18 mois, le groupe criminel a ciblé les réseaux informatiques de plus de 1 000 organisations de victimes. Les attaques BlackCat impliquent généralement le cryptage et le vol de données; si les victimes refusent de payer une rançon, les attaquants publient généralement les données volées sur un site darknet lié à BlackCat.

BlackCat formé en recrutant des opérateurs de plusieurs organisations de ransomware concurrentes ou dissoutes, notamment Insulte, Matière noire et Côté obscur. Ce dernier groupe était responsable de la Attaque du Pipeline colonial en mai 2021 cela a provoqué des pénuries de carburant à l'échelle nationale et des flambées des prix.

Comme de nombreuses autres opérations de ransomware, BlackCat fonctionne selon le modèle "ransomware-as-a-service", où des équipes de développeurs maintiennent et mettent à jour le code du ransomware, ainsi que toute son infrastructure de support. Les affiliés sont incités à attaquer des cibles de grande valeur car ils récoltent généralement 60 à 80% des paiements, le reste revenant aux escrocs exécutant l'opération de ransomware.

BlackCat a pu reprendre brièvement le contrôle de son serveur darknet aujourd'hui. Peu de temps après la mise en ligne de l'avis de saisie du FBI, la page d'accueil a été “désinscrite” et modernisée avec une déclaration sur l'incident du point de vue du groupe de ransomwares.

Le message qui était brièvement sur la page d'accueil du groupe BlackCat ransomware ce matin. Image: @ GossiTheDog.

BlackCat a affirmé que l'opération du FBI ne touchait qu'une partie de ses opérations et qu'à la suite des actions du FBI, 3 000 victimes supplémentaires n'auraient plus la possibilité de recevoir des clés de déchiffrement. Le groupe a également déclaré qu'il supprimait officiellement toutes les restrictions ou découragements contre le ciblage des hôpitaux ou d'autres infrastructures critiques.

“En raison de leurs actions, nous introduisons de nouvelles règles, ou plutôt, nous supprimons TOUTES les règles sauf une, vous ne pouvez pas toucher à la CEI [une restriction commune contre les organisations attaquantes en Russie ou au Communauté des États Indépendants]. Vous pouvez maintenant bloquer les hôpitaux, les centrales nucléaires, n'importe quoi, n'importe où.”

Le groupe criminel a également déclaré qu'il fixait les commissions d'affiliation à 90%, probablement pour susciter l'intérêt d'affiliés potentiels qui pourraient autrement être effrayés par la récente infiltration du FBI. BlackCat a également promis que tous les "annonceurs" dans le cadre de ce nouveau système géreraient leurs comptes d'affiliation à partir de centres de données complètement isolés les uns des autres.

Le site darknet de BlackCat affiche actuellement l'avis de saisie du FBI. Mais comme Ordinateur de bip fondateur Lawrence Abrams expliqué sur Mastodonte, le FBI et BlackCat ont tous deux les clés privées associées à l'URL du service caché Tor pour le site de honte des victimes et de fuite de données de BlackCat.

"Celui qui est le dernier à publier le service caché sur Tor (dans ce cas, le site de fuite de données BlackCat) reprendra le contrôle de l'URL”, a déclaré Abrams. "Attendez-vous à voir ce genre de va-et-vient au cours des prochains jours.”

Le ministère de la Justice dit que toute personne ayant informations sur les affiliés BlackCat ou leurs activités peuvent être éligibles à une récompense pouvant aller jusqu'à 10 millions de dollars par l'intermédiaire du département d'État “Récompenses pour la Justice"programme, qui accepte les soumissions par une ligne de pointe basée sur Tor (la visite du site n'est possible qu'en utilisant le Navigateur Tor).

Lectures complémentaires: Alerte CISA StopRansomware sur les outils, techniques et procédures utilisés par ALPHV/ BlackCat.