Les auteurs de la menace derrière le ransomware BlackCat ont fermé leur site Web darknet et ont probablement lancé une arnaque à la sortie après avoir téléchargé une fausse bannière de saisie des forces de l’ordre.
« ALPHV/BlackCat n’a pas été saisi. Ils escroquent leurs filiales », a déclaré Fabian Wosar, chercheur en sécurité. dit. « Cela saute aux yeux lorsque l’on vérifie le code source du nouvel avis de retrait. »
« Il n’y a absolument aucune raison pour laquelle les forces de l’ordre afficheraient simplement une version enregistrée de l’avis de retrait lors d’une saisie au lieu de l’avis de retrait original. »
La National Crime Agency (NCA) du Royaume-Uni dit Reuters qu’il n’avait aucun lien avec des perturbations de l’infrastructure BlackCat.
Dmitry Smilyanets, chercheur en sécurité du futur enregistré posté des captures d’écran sur la plateforme de médias sociaux X dans lesquelles les acteurs de BlackCat affirmaient que « le gouvernement fédéral nous a trompés » et qu’ils avaient l’intention de vendre le code source du ransomware pour 5 millions de dollars.
L’acte de disparition intervient après que l’entreprise aurait reçu une rançon de 22 millions de dollars de la part de l’unité Change Healthcare (Optum) de UnitedHealth et aurait refusé de partager les bénéfices avec une filiale qui avait mené l’attaque.
La société n’a pas commenté le prétendu paiement de la rançon. déclarant il se concentre uniquement sur les aspects d’enquête et de récupération de l’incident.
Selon Violations de données, l’affilié mécontent – dont le compte a été suspendu par le personnel administratif – a fait ces allégations sur le forum de cybercriminalité RAMP. « Ils ont vidé le portefeuille et pris tout l’argent », ont-ils déclaré.
Cela a suscité des spéculations selon lesquelles BlackCat aurait organisé une arnaque à la sortie pour échapper à tout examen et refaire surface à l’avenir sous une nouvelle marque. « Un changement de marque est en cours », aurait déclaré un ancien administrateur du groupe de ransomware.
BlackCat a vu son infrastructure saisie par les forces de l’ordre en décembre 2023, mais le gang de cybercriminalité a réussi à prendre le contrôle de ses serveurs et à redémarrer ses opérations sans conséquences majeures. Le groupe opérait auparavant sous les surnoms DarkSide et BlackMatter.
« En interne, BlackCat peut s’inquiéter des taupes au sein de son groupe, et la fermeture préventive du magasin pourrait empêcher un retrait avant qu’il ne se produise », a déclaré Malachi Walker, conseiller en sécurité chez DomainTools.
« D’un autre côté, cette arnaque à la sortie pourrait simplement être une opportunité pour BlackCat de prendre l’argent et de s’enfuir. Puisque la crypto est à nouveau à un niveau record, le gang peut s’en sortir en vendant son produit « à un prix élevé ». Dans le monde de la cybercriminalité, la réputation est primordiale, et BlackCat semble couper les ponts avec ses affiliés avec ces actions. »
La disparition apparente du groupe et l’abandon de son infrastructure surviennent alors que le groupe de recherche sur les logiciels malveillants VX-Underground signalé que l’opération du ransomware LockBit ne prend plus en charge Lockbit Red (alias Lockbit 2.0) et StealBit, un outil personnalisé utilisé par l’acteur malveillant pour l’exfiltration de données.
LockBit a également tenté de sauver la face en déplaçant certaines de ses activités vers un nouveau portail Web sombre après qu’une opération coordonnée des forces de l’ordre ait détruit son infrastructure le mois dernier après une enquête de plusieurs mois.
Cela survient également alors que Trend Micro a révélé que la famille de ransomwares connue sous le nom de RA World (anciennement RA Group) a infiltré avec succès des sociétés de soins de santé, de finance et d’assurance aux États-Unis, en Allemagne, en Inde, à Taiwan et dans d’autres pays depuis son apparition en avril 2023.
Les attaques montées par le groupe « impliquent des composants en plusieurs étapes conçus pour garantir un impact et un succès maximum dans les opérations du groupe », a indiqué la société de cybersécurité. noté.