Barracuda full logo

Le groupe de ransomware ALPHV-BlackCat disparaît

Thèmes:
7 mars 2024
|
Christine Barry

Tandis que le gang LockBit s’efforce de conserver ses affiliés, le groupe ALPHV se débarrasse des siens sans ménagement. ALPHV a disparu après avoir reçu ce qui semble être une rançon de 22 millions de dollars de la part d’Optum, l’opérateur de la plateforme Change Healthcare mise hors service au cours d’une attaque par ransomware au début du mois de février.  Optum est une filiale de UnitedHealth Group (UHG), une compagnie d’assurance maladie très présente aux États-Unis. Vous trouverez des informations sur la cyber-réponse d’UHG ici.

Qu’est-ce que ALPHV ?

ALPHV est également appelé BlackCat ou ALPHV/BlackCat, selon la personne qui s’exprime. Les chercheurs en sécurité ont nommé cette menace BlackCat en raison de l’image d’un chat noir sur le site de paiement de rançon du groupe.  Le développeur et d’autres acteurs malveillants appellent le groupe ALPHV. Vous verrez souvent les notifications de sécurité et les alertes utiliser une combinaison de ces deux noms. Vous pouvez également voir ALPHV désigné sous le nom de Ransom.Noberus (Noberus). C’est ainsi que les analystes de Symantec suivent cette menace. Quel que soit le nom qu’on lui donne, il s’agit d’une même réalité.

Les chercheurs de @MalwareHunterTeam ont observé ALPHV pour la première fois le 21 novembre 2021. Ils ont partagé leurs recherches sur X (anciennement Twitter) et sur Bleeping Computer, qui l’a qualifié de « ransomware le plus sophistiqué de l’année ». Les détails des fonctionnalités avancées sont disponibles ici.

ALPHV fonctionne en tant que Ransomware-as-a-Service (RaaS), ce qui signifie que d’autres acteurs malveillants peuvent s’affilier en achetant l’accès au ransomware ALPHV, à l’infrastructure et à d’autres ressources. Les affiliés d’ALPHV mènent des attaques, tandis qu’ALPHV se concentre sur le soutien aux affiliés, le développement de ransomwares et le développement des activités.

Les affiliés ont adoré ALPHV lorsqu’il a fait irruption dans le paysage de la cybercriminalité en 2021. ALPHV était un RaaS généreux, car il offrait des sites de rançon et de violation de données spécialement conçus pour chaque victime, des outils de négociation améliorés et jusqu’à 90 % de la rançon pour l’affilié. Il s’agissait également d’un ransomware mature créé de A à Z à l’aide du langage Rust, ce qui améliorait les performances d’attaque.  ALPHV utilisait parfois la technique de « triple extorsion » pour augmenter la pression sur les victimes. La plupart des gangs de ransomwares pratiquent la double extorsion en utilisant le chiffrement et le vol de données. Les attaques par triple extorsion vont encore plus loin et menacent de lancer une attaque par déni de service distribué (DDoS) contre les victimes qui refusent de payer.  Cette option a rendu ALPHV encore plus attractif auprès de certains affiliés.

En septembre 2023, le FBI a indiqué qu’ALPHV avait compromis les données de plus de 1 000 victimes et collecté près de 300 millions de dollars de rançon, soit une hausse significative par rapport aux quelque 60 victimes enregistrées en mars 2022. ALPHV est devenu l’un des acteurs malveillants RaaS les plus prolifiques, juste derrière LockBit. Les autorités policières ont réagi en lançant une campagne internationale de déstabilisation, qui a conduit à la saisie des sites web d’ALPHV/BLackCat et de certaines des clés de déchiffrement dont les victimes avaient besoin. 

 

 

Page sur la saisie des serveurs ALPHV par le FBI

 

ALPHV a transféré ses activités sur un autre site et a annoncé de nouvelles règles de conduite :

« Comme vous le savez tous, le FBI a obtenu les clés de notre blog … À cause de ses actions, nous introduisons de nouvelles règles, ou plutôt nous supprimons TOUTES les règles sauf une : vous ne touchez pas à la CEI, mais vous pouvez maintenant bloquer les hôpitaux, les centrales nucléaires, n’importe quoi, n’importe où. »

La déclaration concernant la CEI n’est pas surprenante. La CEI est la Communauté des États indépendants composée d’anciens États membres de l’Union soviétique. ALPHV est un groupe russophone qui a des liens avec d’autres acteurs russes malveillants. L’attaque des États membres de la CEI pourrait déclencher une réponse de la part des forces de l’ordre locales, ce qui rendrait les opérations plus difficiles pour les acteurs malveillants basés dans la CEI. Et bien qu’ALPHV ait toujours dit qu’il limitait les attaques contre certaines entités, ceci n’est valable qu’au moment de l’adhésion de l’affilié. Dans un entretien avec Dmitry Smilyanets de Recorded Future, ALPHV a clarifié les restrictions qui s’appliquent aux organismes en rapport avec la santé :

« Nous n’attaquons pas les établissements médicaux publics, les ambulances ou les hôpitaux. Par contre, les entreprises pharmaceutiques et les cliniques privées n’ont pas de traitement d’exception.

Quelles que soient ses règles, ce groupe a durement frappé le secteur de la santé américain. Au début de l’année 2023, le Centre de coordination de la cybersécurité pour le secteur de la santé des États-Unis (HC3) a désigné ALPHV/BlackCat comme l’une des menaces les plus sérieuses et les plus sophistiquées pour le secteur de la santé. C’est pourquoi les services de police en on fait l’une de leurs cibles prioritaires. 

ALPHV était de nouveau en ligne et opérationnel peu après l’intervention du FBI.

Attaques notables

ALPHV a ciblé des victimes dans de nombreux pays et dans différents secteurs économiques. Solar Industries India, NJRC, Montcler, Creos Luxembourg SA et Swissport International AG font partie des nombreuses victimes des années 2022-2023.

 

 

Les entreprises victimes les plus connues sont MGM Resorts, McClaren Health Care et Lehigh Valley Health Network. L’entreprise technologique Change Healthcare mentionnée ci-dessus est la victime la plus récente et la plus largement touchée par ALPHV. Cette attaque a précédé un changement important pour le groupe. ALPHV a collecté une rançon de 22 millions de dollars auprès de Change Healthcare mais n’a jamais payé l’affilié qui a mené l’attaque. Cet affilié a partagé l’information sur les forums criminels :

 

 

ALPHV a fini par répondre :

« Oui, nous étions au courant du problème et nous nous efforcions de le résoudre. Nous avons dit à l’affilié d’attendre. Nous pourrions vous envoyer nos journaux de discussion privés, qui montrent que nous sommes très affectés par tout ce qui se passe et que nous essayons de résoudre le problème des transactions en appliquant des frais plus élevés, mais cela n’a pas de sens, car nous avons décidé de clôturer complètement le projet. Nous pouvons officiellement déclarer que nous avons été bernés par le gouvernement fédéral. »

Change Healthcare n’a ni confirmé ni infirmé le paiement de la rançon, et aucune nouvelle demande de rançon n’a été signalée de la part de « Notchy », qui prétend détenir les données de la victime. De nombreux analystes pensent qu’ALPHV avait planifié une stratégie de sortie et que ce pactole était tout ce qu’il fallait pour fermer la boutique. ALPHV serait en négociation pour vendre son code source.

Historique d’ALPHV

Les origines d’ALPHV remontent à GandCrab, qui a été fermé volontairement en 2019. Ce groupe a été rebaptisé REvil et a fonctionné jusqu’à une intervention du FBI en 2021. Il n’est pas exact de dire que REvil a été rebaptisé Darkside, mais de nombreux affiliés et tactiques de REvil ont été identifiés dans des attaques de Darkside. En raison des similitudes entre les opérations, les opérateurs de Darkside étaient considérés comme d’anciens opérateurs de REvil. Darkside a mis fin à ses activités peu après l’attaque de Colonial Pipeline en 2021.

Le groupe est redevenu actif sous le nom de BlackMatter, mais n’a fonctionné que quelques mois sous ce nom. Notre vieille connaissance LockBitSupp a révélé que BlackCat avait été rebaptisé BlackMatter/Darkside. 

 

 

 

Conclusion

Comme Royal et LockBit, ALPHV/BlackCat est un ransomware mature. Les marques se scindent, les souches évoluent et les développeurs-opérateurs progressent avec toutes leurs connaissances et leur expérience. Les forces de l’ordre et les communautés de la cybersécurité font de leur mieux pour les arrêter. Et contrairement aux opérateurs RaaS qui volent leurs affiliés, les acteurs honnêtes bénéficient d’une coopération sans précédent entre les services de police internationaux, et d’une communication efficace des signaux entre les fournisseurs de cybersécurité.

Les ransomwares chercheront toujours de nouvelles façons de s’introduire dans votre système. Votre meilleure défense est de protéger chaque vecteur de menace avec une plateforme de cybersécurité complète.  Explorez notre site web pour découvrir notre plateforme complète de cybersécurité et élaborez votre plan de protection contre les ransomwares.

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
August’s top threat actors: Ransomware, espionage and infostealers
August’s top threat actors: Ransomware, espionage and infostealers
 Malware Brief: Crafty phishing, BYOVD and Android RATs
Malware Brief: Crafty phishing, BYOVD and Android RATs
 Survey sees global decline in data breach costs
Survey sees global decline in data breach costs
 WolfGPT: The “Upgraded” Dark AI for Malware
WolfGPT: The “Upgraded” Dark AI for Malware
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Inscrivez-vous pour recevoir des projecteurs sur les menaces, des commentaires sur l’industrie et plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.