Le gang de rançongiciels Black Cat, également connu sous le nom d’ALPHV, a confirmé qu’il était d’anciens membres de la célèbre opération de rançongiciel BlackMatter/DarkSide.
BlackCat/ALPHV est une nouvelle opération de ransomware riche en fonctionnalités lancée en novembre 2021 et développée dans le langage de programmation Rust, ce qui est inhabituel pour les infections par ransomware.
L’exécutable du ransomware est hautement personnalisable, avec différentes méthodes et options de cryptage permettant des attaques sur un large éventail d’environnements d’entreprise.
Alors que le gang de rançongiciels s’appelle ALPHV, le chercheur en sécurité MalwareHunterTeam nommé le rançongiciel BlackCat après l’image d’un chat noir utilisée sur la page de paiement Tor de chaque victime.
Depuis lors, l’opération de ransomware est connue sous le nom de BlackCat lorsqu’elle est discutée dans les médias ou par des chercheurs en sécurité.
Un bref historique des changements de marque des ransomwares
De nombreuses opérations de ransomware sont exécutées en tant que Ransomware-as-a-Service (RaaS), où les membres principaux sont chargés de développer l’infection par ransomware et de gérer les serveurs, tandis que les affiliés (alias « publicités ») sont recrutés pour violer les réseaux d’entreprise et mener des attaques. .
Dans le cadre de cet arrangement, les principaux développeurs gagnent entre 10 et 30 % du paiement d’une rançon, tandis que l’affilié gagne le reste. Les pourcentages changent en fonction du montant des revenus de rançon qu’un affilié particulier apporte à l’opération.
Bien qu’il y ait eu de nombreuses opérations RaaS dans le passé, il y a eu quelques gangs de premier plan qui ont généralement fermé leurs portes lorsque les forces de l’ordre leur ont soufflé dessus, puis se sont rebaptisés sous de nouveaux noms.
Ces opérations Ransomware-as-a-Service de premier plan et leurs changements de marque sont :
Certains pensent que Conti était une nouvelle image de marque de Ryuk, mais des sources disent à EZpublish-france.fr qu’il s’agit à la fois d’opérations discrètes gérées par le groupe TrickBot et qu’elles ne sont pas affiliées l’une à l’autre.
Alors que certains affiliés ont tendance à s’associer à une seule opération RaaS, il est courant que les affiliés et les testeurs d’intrusion s’associent à plusieurs gangs à la fois.
Par exemple, un affilié de ransomware a déclaré à EZpublish-france.fr qu’il travaillait simultanément avec Ragnar Locker, Maze et les opérations de ransomware REvil.
BlackCat renaît des cendres de BlackMatter
Depuis le lancement du ransomware BlackCat en novembre, le représentant du gang des ransomwares LockBit a déclaré qu’ALPHV/BlackCat est une nouvelle image de DarkSide/BlackMatter.
The Record a publié un entretien avec le gang ALPHV/BlackCatqui a confirmé les soupçons selon lesquels ils étaient affiliés au gang DarkSide/BlackMatter.
« Comme les publicités de la matière noire [DarkSide / BlackMatter]nous avons souffert de l’interception des victimes pour les décryptage par Emsisoft », a déclaré ALPHV à The Record, faisant référence à la sortie du décrypteur d’Emsisoft.
Alors que les opérateurs de ransomware BlackCat affirment qu’ils n’étaient que des affiliés de DarkSide/BlackMatter qui ont lancé leur propre opération de ransomware, les chercheurs en sécurité ne l’achètent pas.
Analyste des menaces Emsisoft Brett Callow pense que BlackMatter a remplacé son équipe de développement après qu’Emsisoft a exploité une faiblesse permettant aux victimes de récupérer leurs fichiers gratuitement et de perdre des millions de dollars en rançons.
« Bien qu’Alphv prétende être d’anciens affiliés de DS/BM, il est plus probable qu’ils *sont* DS/BM mais qu’ils tentent de se distancer de cette marque en raison de l’atteinte à la réputation qu’elle a subie après avoir commis une erreur qui a coûté plusieurs millions de dollars aux affiliés, » Callow tweeté hier.
Dans le passé, il était possible de prouver que différentes opérations de ransomware étaient liées en recherchant des similitudes de code dans le code du chiffreur.
Comme le chiffreur BlackCat a été construit à partir de zéro dans le langage de programmation Rust, le Fabien Wosar dit à EZpublish-france.fr que ces similitudes de codage n’existent plus.
Cependant, Wosar a déclaré qu’il existe des similitudes dans les fonctionnalités et les fichiers de configuration, soutenant qu’il s’agit du même groupe derrière les opérations de ransomware BlackCat et DarkSide/BlackMatter.
Le gang répète ses erreurs
Ironiquement, ce qui a conduit à la chute des opérations DarkSide/BlackMatter pourrait finalement être la cause de la disparition rapide de BlackCat/ALPHV.
Après que DarkSide ait attaqué le Colonial Pipeline, le plus grand pipeline de carburant des États-Unis, il a commencé à ressentir toute la pression des forces de l’ordre internationales et du gouvernement américain.
Cette pression s’est poursuivie après leur changement de nom en tant que BlackMatter, les forces de l’ordre saisissant leurs serveurs et les obligeant à s’arrêter à nouveau.
Ironiquement, ce qui a peut-être propulsé le rançongiciel BlackCat sous les projecteurs est une autre attaque contre les fournisseurs de pétrole et les sociétés de distribution, entraînant des problèmes de chaîne d’approvisionnement.
Cette semaine, BlackCat a attaqué Oiltanking, un distributeur de pétrole allemand, et Mabanaft GmbH, un fournisseur de pétrole.
Ces attaques ont une fois de plus affecté la chaîne d’approvisionnement en carburant et provoqué des pénuries de gaz.
Les opérateurs de BlackCat, cependant, ont déclaré à The Record qu’ils ne pouvaient pas contrôler qui leurs affiliés attaquaient et interdire ceux qui ne respectaient pas les politiques du gang. Ces politiques stipulent que les affiliés ne doivent pas cibler les agences gouvernementales, les établissements de santé ou d’enseignement.
Cependant, il semble que le gang Darkside n’ait pas appris de ses erreurs précédentes et ait de nouveau attaqué des infrastructures critiques, ce qui les placera probablement fermement dans le collimateur des forces de l’ordre.