Navigation
Les derniers articles
Suivez en direct

Le ransomware ALPHV/Blackcat a été saisi par le FBI … aussi avec l’aide d’une police suisse

Un chat noir tendu sur un fond jaune 1 1
Le Département de la Justice a annoncé avoir neutralisé ALPHV, un dangereux groupe de ransomware. Une police suisse a également été impliquée dans cette opération internationale.

Le Département de la Justice a annoncé le 20 décembre dernier avoir hacé les hackers du groupe de ransomware Blackcat, également connu sous le nom d’ALPHV ou Noberus, qui a ciblé les réseaux informatiques de plus de 1 000 victimes et causé des dommages dans le monde entier depuis sa création.

Au cours des 18 derniers mois, ALPHV/Blackcat représente le deuxième variante de ransomware le plus dangereux au monde, sur la base des centaines de millions de dollars de rançons payées par des victimes dans le monde entier. En raison de l’ampleur mondiale de ces crimes, plusieurs agences de l’application de la loi étrangère mènent des enquêtes parallèles.

A l’occasion de cette « saisie » du ransomware ALPHV, le FBI a développé un outil de décryptage qui a permis aux bureaux locaux du FBI à travers le pays et aux partenaires de l’application de la loi dans le monde entier d’offrir à plus de 500 victimes concernées la possibilité de restaurer leurs systèmes. Selon l’article ci-dessous, le FBI aurait ainsi travaillé avec des dizaines de victimes aux États-Unis et à l’étranger pour mettre en œuvre ce décrypteur, sauvant plusieurs victimes de demandes de rançon totalisant environ 68 millions de dollars.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Le site « saisi » par le FBI puis « désaisi » par les criminels … et ainsi de suite …

Selon l’article d’ARS TECHNICA, le FBI a affiché un avis de saisie sur le site AlphV du dark web, mais celui-ci a ensuite disparu, remplacé par un message proclamant que le site avait été dé-saisi. Les responsables d’AlphV ont minimisé l’impact de l’action du FBI, reconnaissant que l’outil de décryptage avait fonctionné pour 400 victimes, mais affirmant que la perturbation empêcherait les données de 3 000 autres victimes d’être décryptées.

image 14
Source de l’image : article ci-dessous ARS TECHNICA

Au fil des heures, le FBI et AlphV se sont affrontés pour le contrôle du site du dark web, chacun remplaçant les avis de l’autre.

image 15
Source de l’image : article ci-dessous ARS TECHNICA

La plupart des groupes de logiciels de rançon, tels que AlphV, hébergent leurs sites sur Tor, empêchant ainsi les forces de l’ordre d’identifier les membres du groupe. Cependant, cela entrave également la capacité à obtenir des ordonnances judiciaires contraignant l’hébergeur web à céder le contrôle du site.

image 13
Une photo de la Clé USB obtenue par FBI contenant les paires de clés privées et publiques pour les URL TOR ALPHV (Source : document public de mise en accusation du Département de la Justice américaine)

Pour information, la seule façon de contrôler une adresse Tor est de posséder une clé de cryptage privée, l’onion key. Une fois que le FBI l’a obtenue, les enquêteurs ont pu publier l’avis de saisie de mardi à cette adresse. Comme AlphV détenait également la clé, les membres du groupe étaient tout aussi libres de publier leur propre contenu. Comme Tor rend impossible le changement de la clé privée correspondant à une adresse, aucun des deux côtés n’a pu exclure l’autre.

À cause de leurs actions (FBI), nous introduisons de nouvelles règles, ou plutôt, nous supprimons TOUTES les règles sauf une, vous ne pouvez pas toucher le CIS, vous pouvez maintenant bloquer les hôpitaux, les centrales nucléaires, n’importe quoi, n’importe où.

Le gang cybercriminel AlphV

Chacun des côtés étant essentiellement dans une impasse et AlphV en est venu à lever certaines des restrictions qu’il avait précédemment imposées aux affiliés. Ainsi, jusqu’à présent, AlphV avait établi des règles pour les affiliés leur interdisant de cibler les hôpitaux et les infrastructures critiques. Désormais, ces règles ne s’appliquent plus à moins que la victime ne se trouve dans une liste de pays qui faisaient autrefois partie de l’ancienne Union soviétique.

Sous pression, ALPHV a émis aussi de nouvelles règles à l’avantage de ses affiliés qui pourraient maintenant conserver 90 % de tout paiement de rançon qu’ils recevaient.

Avec aussi des forces de police suisse 🇨🇭

Cette opération internationale a impliqué le FBI, le département américain de la Justice et plusieurs agences de sécurité européennes ainsi que la police cantonale de Thurgovie. Dans l’article référencé ci-dessous, le porte-parole de cette dernière confirme : « Des spécialistes de l’unité de lutte contre la cybercriminalité de la police cantonale de Thurgovie ont été impliqués dans le groupe de coordination des enquêtes internationales sur l’affaire Blackcat. »

Pour en savoir plus

BlackCat Ransomware Raises Ante After FBI Disruption

The U.S. Federal Bureau of Investigation (FBI) disclosed today that it infiltrated the world’s second most prolific ransomware gang, a Russia-based criminal group known as ALPHV and BlackCat.

How the FBI seized BlackCat (ALPHV) ransomware’s servers

An unsealed FBI search warrant revealed how law enforcement hijacked the ALPHV/BlackCat ransomware operations websites and seized the associated URLs.

COURT DOC: Justice Department Disrupts Prolific ALPHV/Blackcat Ransomware Variant

The Justice Department announced a disruption campaign against the Blackcat ransomware group that has targeted the computer networks of more than 1,000 victims.

AlphV ransomware site is « seized » by the FBI. Then it’s « unseized. » And so on.

In a bizarre twist, both groups issue dueling notices to ransomware website.

La note publique de la CISA, intéressante à propos de ALPHV:

aa23-353a-stopransomware-alphv-blackcat_0Télécharger

🇨🇭️A noter aussi que le police thurgovienne a également participé à cette opération internationale des forces de l’ordre:

Thurgauer Polizei hilft, russische Ransomware-Bande zu stoppen

Ermittler haben die Cybercrime-Gruppe ALPHV alias « BlackCat » infiltriert und Teile ihres Netzwerks lahmgelegt. An der internationalen Operation war auch die Kantonspolizei Thurgau beteiligt.

(Re)découvrez également:

Voici la nouvelle tactique d’extorsion du gang BlackCat
BlackCat publie sans pitié des photos dénudées de patients

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.