Le ministère américain de la Justice (DoJ) a officiellement annoncé l’interruption du fonctionnement du ransomware BlackCat et a publié un outil de décryptage que les victimes peuvent utiliser pour retrouver l’accès aux fichiers verrouillés par le malware.
Des documents judiciaires montrent que le Federal Bureau of Investigation (FBI) des États-Unis a fait appel à une source humaine confidentielle (CHS) pour agir en tant qu’affilié du BlackCat et accéder à un panneau Web utilisé pour gérer les victimes du gang, dans ce qui est une affaire. de pirater les hackers.
BlackCat, également appelé ALPHV et Noberus, est apparu pour la première fois en décembre 2021 et est depuis devenu la deuxième variante de ransomware-as-a-service la plus prolifique au monde après LockBit. Il s’agit également de la première souche de ransomware basée sur le langage Rust repérée dans la nature.
Ce développement met fin aux spéculations sur une rumeur d’action des forces de l’ordre après la mise hors ligne de son portail de fuite sur le Web sombre le 7 décembre, pour refaire surface cinq jours plus tard avec une seule victime.
Le FBI a déclaré avoir travaillé avec des dizaines de victimes aux États-Unis pour mettre en œuvre le décrypteur, leur évitant ainsi des demandes de rançon totalisant environ 68 millions de dollars et avoir également obtenu des informations sur le réseau informatique du ransomware, lui permettant de collecter 946 paires de clés publiques/privées utilisées pour héberger les sites TOR exploités par le groupe et les démanteler.
BlackCat, comme plusieurs autres gangs de ransomwares, utilise un modèle de ransomware-as-a-service impliquant un mélange de développeurs principaux et d’affiliés, qui louent la charge utile et sont chargés d’identifier et d’attaquer les institutions victimes de grande valeur.
Il utilise également le système de double extorsion pour faire pression sur les victimes afin qu’elles paient en exfiltrant les données sensibles avant le cryptage.
“Les affiliés de BlackCat ont obtenu un accès initial aux réseaux des victimes grâce à un certain nombre de méthodes, notamment en exploitant les informations d’identification des utilisateurs compromises pour obtenir un accès initial au système de la victime”, a déclaré le DoJ.
Au total, on estime que cet acteur motivé par des considérations financières a compromis les réseaux de plus de 1 000 victimes dans le monde pour gagner des centaines de millions de dollars de revenus illégaux.
Source de l’image : Résécurité |
Au contraire, le retrait s’est avéré être une bénédiction déguisée pour des groupes rivaux comme LockBit, qui profite déjà de la situation en recrutant activement des affiliés déplacés, proposant à son site de fuite de données de reprendre les négociations avec les victimes.