TL;DR : L’essentiel
- Un ancien employé d’une société de réponse aux incidents a avoué avoir fourni aux opérateurs de BlackCat des informations confidentielles sur les limites d’assurance et les positions de négociation de ses clients.
- Les trois complices ont également déployé directement le logiciel de rançon entre avril et novembre 2023, reversant une commission de 20 % aux administrateurs du groupe pour l’accès à la plateforme d’extorsion.
- Les autorités américaines ont procédé à la saisie de 10 millions de dollars d’actifs, incluant des devises numériques et des véhicules de luxe, acquis grâce aux profits générés par ces activités criminelles.
Le département de la Justice des États-Unis a annoncé qu’un troisième professionnel de la cybersécurité a plaidé coupable de complot en vue de mener des attaques par rançongiciel contre des entreprises américaines. Selon les informations publiées par databreaches.net, cet individu, anciennement employé comme négociateur dans une société spécialisée, a collaboré avec les opérateurs du variant BlackCat, également connu sous le nom d’ALPHV, pour cibler des institutions nationales.
Exploitation du secret professionnel et des garanties d’assurance
Abusant de sa fonction de médiateur pour le compte de cinq victimes, le négociateur a transmis aux attaquants des données stratégiques sans le consentement de son employeur ni de ses clients. Ces informations incluaient les plafonds des polices d’assurance cyber et les marges de manœuvre financières internes, permettant aux cybercriminels de maximiser les montants exigés lors des phases d’extorsion. Comme l’indique The Hacker News, cette trahison a directement servi les intérêts financiers du groupe criminel en échange de compensations monétaires occultes.
L’enquête révèle que les trois prévenus, issus des entreprises DigitalMint et Sygnia, utilisaient leurs compétences techniques pour faciliter les opérations de l’écosystème BlackCat. Leurs employeurs respectifs, qui n’avaient aucune connaissance de ces agissements, ont procédé au licenciement immédiat des collaborateurs dès la découverte des faits. Le procureur général adjoint a souligné que ce comportement a non seulement porté préjudice aux victimes directes, mais a également entaché l’intégrité de l’ensemble du secteur de la réponse aux incidents.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Déploiement actif et blanchiment des rançons
Au-delà de la transmission de renseignements, les trois complices ont opéré comme de véritables affiliés du groupe en déployant eux-mêmes le logiciel malveillant sur les réseaux de leurs victimes. Selon BleepingComputer, le trio a réussi à extorquer environ 1,2 million de dollars en Bitcoin à une seule organisation avant de blanchir les fonds. Les victimes identifiées comptent des cabinets d’avocats, des districts scolaires, des établissements médicaux et des organisations à but non lucratif, dont une ayant versé plus de 26 millions de dollars.
Les autorités ont saisi pour 10 millions de dollars de biens, comprenant de la cryptomonnaie, un bateau de pêche de luxe et un camion de restauration. Ces saisies font suite aux efforts de l’administration pour démanteler l’infrastructure de BlackCat, une opération qui aurait permis d’économiser près de 99 millions de dollars en paiements de rançons grâce au développement d’un outil de déchiffrement. Les trois prévenus risquent chacun une peine maximale de 20 ans de prison lors de leur condamnation prévue prochainement.
Cette affaire illustre avant tout la malhonnêteté flagrante d’experts en sécurité ayant œuvré sans aucune éthique, détournant leur mission de confiance pour s’associer sciemment à des activités criminelles d’extorsion.
FAQ sur l’affaire des négociateurs BlackCat
Quelles informations précises les experts ont-ils détournées pour aider les attaquants ?
Les individus ont transmis des données hautement confidentielles, notamment les limites des polices d’assurance cyber des victimes et les stratégies de négociation internes. Ces détails permettaient aux opérateurs de BlackCat de connaître exactement la capacité de paiement des entreprises cibles et d’ajuster leurs exigences pour obtenir le montant maximal possible.
Comment les entreprises employeuses ont-elles réagi à la découverte de ces fraudes ?
Les sociétés DigitalMint et Sygnia ont affirmé n’avoir eu aucune connaissance préalable des activités malveillantes de leurs employés. Dès que les faits ont été mis au jour par les autorités, les entreprises ont immédiatement licencié les individus concernés et ont pris des mesures de sécurité renforcées pour éviter que de tels abus de confiance ne se reproduisent.
Quels types d’organisations ont été touchés par ces extorsions ?
Les attaques ont visé un large spectre d’entités américaines, allant de cabinets d’avocats et de districts scolaires à des établissements médicaux. Des organisations financières et des structures à but non lucratif ont également été victimes, certaines ayant versé des rançons records dépassant les 25 millions de dollars.
Pour approfondir le sujet
BlackCat : Deux experts cybersécurité extorquent 1,2M$
Menace interne : deux experts cybersécurité arrêtés pour avoir orchestré des attaques BlackCat. Comment ont-ils piégé leurs propres clients pour s'enrichir ? Lire la suite
Le ransomware ALPHV/Blackcat a été saisi par le FBI … aussi avec l'aide d'une police suisse
Le Département de la Justice a annoncé avoir neutralisé ALPHV, un dangereux groupe de ransomware. Une police suisse a également été impliquée dans cette opération internationale. Lire la suite
Actualités liées
Un Floridien travaillant comme négociateur en matière de rançongiciel plaide coupable de complot visant à déployer un rançongiciel et à extorquer des victimes américaines.
Un homme de Floride, ancien négociateur spécialisé dans les attaques par rançongiciel, a plaidé coupable de complot en vue de commettre des attaques par rançongiciel contre des entreprises américaines en 2023. Lire la suite
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
