Tout savoir sur ALPHV ou BlackCat, un dangereux groupe de ransomware

Les premières attaques de ALPHV sont repérées en novembre 2021. Le groupe porte plusieurs noms BlackCat, AlphaV, Noberus ou encore AlphaVM. Grâce à un recrutement massif d’affiliés, ALPHV s’impose rapidement comme le groupe de ransomware le plus prolifique en 2022. D’après le FBI, il a fait près de 60 victimes entre janvier et avril 2022. Ses malwares sont écrits en Rust, un langage peu connu des développeurs. Pourtant, il permet aux acteurs malveillants de s’adapter à tous les systèmes d’exploitation, y compris Linux.

BlackCat réussit à pénétrer le réseau d’une organisation grâce à des identifiants volés. Chaque année, des milliers d’identifiants sont divulgués ou vendus sur le darkweb, une aubaine pour les cybercriminels.

Une fois à l’intérieur, le groupe exfiltre discrètement les données et commence à cartographier l’ensemble du réseau. Il collecte également des informations spécifiques au fournisseur pour mieux configurer leur ransomware. Les hackers désactivent en même temps ou configurent les systèmes de sécurité. L’ultime étape consiste à exécuter le ransomware et envoyer la demande de rançon à la victime.

Basés sur le langage de programmation Rust, les outils de Blackcat se distinguent par leur capacité à s’adapter à la cible visée. Le code de cryptage peut s’exécuter sur n’importe quelle plateforme : Windows ou Linux.

Dès ses premières attaques, ALPHV se vante d’avoir entre ses murs des anciens membres de groupes déjà démantelés comme REvil et BlackMatter. Le groupe se positionne même comme la nouvelle alternative à ces cybercriminels en matière d’infrastructures.

Dans son rapport, Kaspersky identifie au moins plusieurs membres de BlackMatter. Comme ses aïeux, le groupe fonctionne sur le système d’affiliation. On distingue les membres affiliés qui agissent en leur propre nom et versent une part de la rançon. Il y a aussi les membres qui développent le service et gèrent l’aspect codage.

Les chercheurs mettent en avant l’existence d’une autre catégorie : les courtiers d’accès. Ces derniers cherchent les moyens de pénétrer les organisations dans le but de les monétiser. D’autres acteurs assurent le rôle de négociateur et de support de retrait.

Comme BlackMatter, ALPHV utilise Fendr, un outil permettant l’exfiltration des données des organisations cibles. Son utilisation intervient avant le déploiement du ransomware pour décrypter le reste. C’est ainsi qu’ils réalisent la double extorsion.

L’appartenance à ces anciens gangs RaaS a été confirmée par le FBI en 2022. Dans son rapport, il révèle que ALPHV était composé d’anciens membres de BlackMatter et Darkside.

Rappelons que BlackMatter et REvil étaient des groupes russophones. Les deux étaient eux-mêmes reliés à d’anciens groupes démantelés, à savoir Darkside et LockBit 2.0.

Ces faits démontrent que malgré leur démantèlement, les groupes de ransomware disparaissent uniquement pour mieux s’organiser.

Depuis ses premières attaques en 2021, ALPHV a ciblé des organisations dans des secteurs variés : de l’énergie à la construction. Cela fait de lui le groupe le plus prolifique de ces quatre dernières années.

Dans une alerte lancée en avril 2022, le FBI rapporte que le groupe de ransomware comptait déjà 60 victimes à son actif entre janvier et avril.

En 2022, le groupe s’attaque à plusieurs structures en Allemagne à commencer par plusieurs compagnies pétrolières. Le ransomware a paralysé l’activité de près de 233 stations-service d’après le journal Handelsblatt.

La même année, ALPHV s’en prend à une cible d’envergure : l’agence italienne de l’énergie. Il a ensuite déclaré sur son site avoir dérobé près de 700 gigaoctets de données.

En 2022, un gouvernement européen figure sur son tableau de chasse. Le groupe aurait réclamé 5 millions de dollars pour décrypter les données de sa victime.

En début d’année 2023, un réseau de santé en Pennsylvanie devient sa nouvelle cible. Le groupe avait diffusé sur son site des images de patients atteints du cancer qui suivaient leur traitement. Des données personnelles des patients circulaient également sur la toile.

Pourtant, Blackcat avait déclaré qu’il ne s’attaquait pas aux institutions médicales publiques. En revanche, il n’épargne pas les institutions privées dans ce domaine. La liste de ces cibles a démontré que ces groupes de cybercriminels tiennent rarement leurs engagements.

Malgré des actions à l’international, les chercheurs en cybersécurité ont constaté que ALPHV ciblait spécialement des organisations basées aux Etats-Unis. Viennent ensuite les organisations européennes et asiatiques. Les trois secteurs les plus visés sont l’industrie, la technologie et les organismes gouvernementaux.

En quelques années, le groupe de ransomware BlackCat a acquis une notoriété internationale grâce au niveau de sophistication de ses méthodes. Il doit sa croissance fulgurante à plusieurs aspects :

• Son système d’affiliation rémunère grassement les affiliés par rapport aux concurrents. Le groupe cède jusqu’à 90% de la rançon pour s’imposer dans cet environnement hautement concurrentiel. Son objectif est de recruter le plus d’affiliés rapidement.
• Le groupe passe également par la publicité pour agrandir son réseau. Il publie des annonces sur des forums illégaux comme Ransomware Anonymous Market Place (RAMP) et investit d’autres forums russophones.
• BlackCat possède également un site public où il divulgue les données volées à ses victimes. Hébergé sur d’autres sites Tor, ce site applique des restrictions pour empêcher les chercheurs et les autorités de tout découvrir.
• Le groupe utilise un jeton de clé d’accès pour restreindre l’accès au site de négociation avec les victimes. Seul l’affilié concerné obtient ce jeton.
• Les méthodes d’intrusion dans une organisation dépendent de l’affilié qui utilise le ransomware. Un rapport de Microsoft confirme que certains d’entre eux agissent depuis plus longtemps. Dénommés respectivement DEV-0237 et DEV-0504 par la firme, ces derniers étaient déjà des affiliés de Ryuk et Conti pour le premier et REvil et BlackMatter pour le second.
• En 2022, des chercheurs ont constaté que ALPHV exploite le botnet Emotet pour déployer son ransomware. Ce malware était déjà utilisé par des groupes notoires comme Conti.

Pendant environ deux ans, le ransomware BlackCat a fait près de 1000 victimes à travers le monde. Cela a fait de lui, le groupe le plus prolifique au monde entre 2022 et 2023, récoltant des centaines de millions de rançons.

Face à l’ampleur de la menace, les organismes gouvernementaux se saisissent de l’affaire. En 2023, le FBI a réussi à développer un outil de décryptage. Cela a permis à près de 500 cibles de restaurer leurs données.

Cette opération a perturbé les activités du groupe puisque plusieurs victimes n’étaient plus obligées de payer une rançon, soit 68 millions de dollars.

En 2024, les autorités américaines offrent une récompense de 10 millions de dollars à quiconque qui livre l’identité du chef du groupe ALPHV et 5 millions de dollars pour l’identité des autres membres.

En attendant, ALPHV poursuit ses attaques en 2024 bien qu’elles soient plus rares. Parmi ses cibles, on retrouve le Conseil des consommateurs de Hong Kong et Change Healthcare. Cette dernière aurait payé 22 millions de dollars de rançon.

Après cette opération, le gang décide de cesser ses activités prétextant une pression du FBI. Les analystes estiment pourtant qu’il s’agit d’un coup monté. Les membres voulaient partir avec l’argent sur le dos de leurs affiliés. Dans la foulée, BlackCat a aussi indiqué la vente du code source de son malware pour 5 millions de dollars.