Le ransomware ALPHV/Blackcat a été saisi par le FBI … aussi avec l’aide d’une police suisse

Le Département de la Justice a annoncé avoir neutralisé ALPHV, un dangereux groupe de ransomware. Une police suisse a également été impliquée dans cette opération internationale.

Le Département de la Justice a annoncé le 20 décembre dernier avoir hacé les hackers du groupe de ransomware Blackcat, également connu sous le nom d’ALPHV ou Noberus, qui a ciblé les réseaux informatiques de plus de 1 000 victimes et causé des dommages dans le monde entier depuis sa création.

Au cours des 18 derniers mois, ALPHV/Blackcat représente le deuxième variante de ransomware le plus dangereux au monde, sur la base des centaines de millions de dollars de rançons payées par des victimes dans le monde entier. En raison de l’ampleur mondiale de ces crimes, plusieurs agences de l’application de la loi étrangère mènent des enquêtes parallèles.

A l’occasion de cette « saisie » du ransomware ALPHV, le FBI a développé un outil de décryptage qui a permis aux bureaux locaux du FBI à travers le pays et aux partenaires de l’application de la loi dans le monde entier d’offrir à plus de 500 victimes concernées la possibilité de restaurer leurs systèmes. Selon l’article ci-dessous, le FBI aurait ainsi travaillé avec des dizaines de victimes aux États-Unis et à l’étranger pour mettre en œuvre ce décrypteur, sauvant plusieurs victimes de demandes de rançon totalisant environ 68 millions de dollars.

Le site « saisi » par le FBI puis « désaisi » par les criminels … et ainsi de suite …

Selon l’article d’ARS TECHNICA, le FBI a affiché un avis de saisie sur le site AlphV du dark web, mais celui-ci a ensuite disparu, remplacé par un message proclamant que le site avait été dé-saisi. Les responsables d’AlphV ont minimisé l’impact de l’action du FBI, reconnaissant que l’outil de décryptage avait fonctionné pour 400 victimes, mais affirmant que la perturbation empêcherait les données de 3 000 autres victimes d’être décryptées.

Au fil des heures, le FBI et AlphV se sont affrontés pour le contrôle du site du dark web, chacun remplaçant les avis de l’autre.

La plupart des groupes de logiciels de rançon, tels que AlphV, hébergent leurs sites sur Tor, empêchant ainsi les forces de l’ordre d’identifier les membres du groupe. Cependant, cela entrave également la capacité à obtenir des ordonnances judiciaires contraignant l’hébergeur web à céder le contrôle du site.

Pour information, la seule façon de contrôler une adresse Tor est de posséder une clé de cryptage privée, l’onion key. Une fois que le FBI l’a obtenue, les enquêteurs ont pu publier l’avis de saisie de mardi à cette adresse. Comme AlphV détenait également la clé, les membres du groupe étaient tout aussi libres de publier leur propre contenu. Comme Tor rend impossible le changement de la clé privée correspondant à une adresse, aucun des deux côtés n’a pu exclure l’autre.

À cause de leurs actions (FBI), nous introduisons de nouvelles règles, ou plutôt, nous supprimons TOUTES les règles sauf une, vous ne pouvez pas toucher le CIS, vous pouvez maintenant bloquer les hôpitaux, les centrales nucléaires, n’importe quoi, n’importe où.

Le gang cybercriminel AlphV

Chacun des côtés étant essentiellement dans une impasse et AlphV en est venu à lever certaines des restrictions qu’il avait précédemment imposées aux affiliés. Ainsi, jusqu’à présent, AlphV avait établi des règles pour les affiliés leur interdisant de cibler les hôpitaux et les infrastructures critiques. Désormais, ces règles ne s’appliquent plus à moins que la victime ne se trouve dans une liste de pays qui faisaient autrefois partie de l’ancienne Union soviétique.

Sous pression, ALPHV a émis aussi de nouvelles règles à l’avantage de ses affiliés qui pourraient maintenant conserver 90 % de tout paiement de rançon qu’ils recevaient.

Avec aussi des forces de police suisse 🇨🇭

Cette opération internationale a impliqué le FBI, le département américain de la Justice et plusieurs agences de sécurité européennes ainsi que la police cantonale de Thurgovie. Dans l’article référencé ci-dessous, le porte-parole de cette dernière confirme : « Des spécialistes de l’unité de lutte contre la cybercriminalité de la police cantonale de Thurgovie ont été impliqués dans le groupe de coordination des enquêtes internationales sur l’affaire Blackcat. »

Pour en savoir plus

La note publique de la CISA, intéressante à propos de ALPHV:

🇨🇭️A noter aussi que le police thurgovienne a également participé à cette opération internationale des forces de l’ordre:

(Re)découvrez également: