Le FBI a passé une grande partie de mardi dans une lutte acharnée en ligne avec l’un des groupes de ransomwares les plus agressifs d’Internet après avoir pris le contrôle de l’infrastructure que le groupe a utilisée pour générer plus de 300 millions de dollars de paiements illicites à ce jour.
Tôt mardi matin, le site Web sombre appartenant à AlphV, un groupe de ransomware également connu sous le nom de BlackCat, a soudainement commencé à afficher une bannière indiquant qu’il avait été saisi par le FBI dans le cadre d’une action coordonnée des forces de l’ordre. Fini tout le contenu qu’AlphV avait publié précédemment sur le site.
À peu près au même moment, le ministère de la Justice a déclaré avoir perturbé les opérations d’AlphV en publiant un outil logiciel qui permettrait à environ 500 victimes d’AlphV de restaurer leurs systèmes et leurs données. Au total, selon les responsables du ministère de la Justice, AlphV avait extorqué environ 300 millions de dollars à 1 000 victimes.
Entre-temps, un affidavit descellé devant un tribunal fédéral de Floride a révélé que la perturbation impliquait que des agents du FBI avaient obtenu 946 clés privées utilisées pour héberger les sites de communication des victimes. Le document juridique indique que les clés ont été obtenues avec l’aide d’une source humaine confidentielle qui avait « répondu à une annonce publiée sur un forum en ligne accessible au public sollicitant des candidats pour des postes affiliés à Blackcat ».
« En perturbant le groupe de ransomwares BlackCat, le ministère de la Justice a une fois de plus piraté les pirates », a déclaré la procureure générale adjointe Lisa O. Monaco dans l’annonce de mardi. « Grâce à un outil de décryptage fourni par le FBI à des centaines de victimes de ransomwares dans le monde, les entreprises et les écoles ont pu rouvrir, et les soins de santé et les services d’urgence ont pu revenir en ligne. Nous continuerons de donner la priorité aux perturbations et de placer les victimes au centre de notre stratégie visant à démanteler l’écosystème qui alimente la cybercriminalité.
En quelques heures, l’avis de saisie du FBI affiché sur le site Web sombre d’AlphV avait disparu. A sa place se trouvait une nouvelle annonce proclamant : « Ce site Web n’a pas été saisi. » Le nouvel avis, rédigé par des responsables d’AlphV, minimise l’importance de l’action du FBI. Sans contester l’efficacité de l’outil de décryptage pour 400 victimes, les responsables d’AlphV ont déclaré que la perturbation empêcherait le décryptage des données appartenant à 3 000 autres victimes.
« Maintenant, à cause d’eux, plus de 3 000 entreprises ne recevront jamais leurs clés. »
Au fil des heures, le FBI et AlphV se disputaient le contrôle du site du dark web, chacun remplaçant les notifications de l’autre.
Un chercheur a décrit la lutte en cours comme une « lutte contre Tor », une référence à Tor, le réseau de serveurs qui permet aux gens de parcourir et de publier des sites Web de manière anonyme. Comme la plupart des groupes de ransomwares, AlphV héberge ses sites via Tor. Non seulement cet arrangement empêche les enquêteurs des forces de l’ordre d’identifier les membres du groupe, mais il les empêche également d’obtenir des ordonnances judiciaires obligeant l’hébergeur Web à céder le contrôle du site.
La seule façon de contrôler une adresse Tor est de posséder une clé de cryptage privée dédiée. Une fois que le FBI l’a obtenu, les enquêteurs ont pu lui publier l’avis de saisie de mardi. Comme AlphV conservait également la clé, les membres du groupe étaient également libres de publier leur propre contenu. Puisque Tor rend impossible la modification de la clé privée correspondant à une adresse, aucune des parties n’a pu verrouiller l’autre.
Les deux camps étant dans l’impasse, AlphV a décidé de supprimer certaines des restrictions qu’elle imposait auparavant à ses affiliés. Dans le modèle commun du ransomware-as-a-service, ce sont les affiliés qui piratent réellement les victimes. En cas de succès, les affiliés utilisent le ransomware et l’infrastructure AlphV pour crypter les données, puis négocier et faciliter un paiement par Bitcoin ou une autre crypto-monnaie.
Jusqu’à présent, AlphV imposait à ses affiliés des règles leur interdisant de cibler les hôpitaux et les infrastructures critiques. Désormais, ces règles ne s’appliquent plus, sauf si la victime se trouve dans la Communauté des États indépendants, une liste de pays qui faisaient autrefois partie de l’ex-Union soviétique.
« Grâce à leurs actions, nous introduisons de nouvelles règles, ou plutôt, nous supprimons TOUTES les règles sauf une, vous ne pouvez pas toucher à la CEI, vous pouvez désormais bloquer les hôpitaux, les centrales nucléaires, n’importe quoi, n’importe où », indique l’avis de l’AlphV. L’avis indiquait qu’AlphV permettait également aux affiliés de conserver 90 pour cent de tout paiement de rançon qu’ils recevaient, et que les affiliés « VIP » recevraient un programme privé sur des centres de données isolés séparés. Cette décision est probablement une tentative d’empêcher une éventuelle défection d’affiliés effrayés. par l’accès du FBI à l’infrastructure AlphV.
Ces allers-retours ont amené certains à dire que le dérèglement avait échoué, puisque AlphV garde le contrôle de son site et continue de détenir les données qu’elle a volées aux victimes. Lors d’une discussion sur les réseaux sociaux avec l’un de ces critiques, l’expert en ransomware Allan Liska a répliqué.
« Le serveur et toutes ses données sont toujours en possession du FBI – et ALPHV ne récupère rien de tout cela », a écrit Liska, chercheuse en menaces au sein de la société de sécurité Recorded Future.
« Mais bon, vous avez raison et je me trompe à 100 %. Je vous encourage, ainsi que tous les groupes de ransomwares, à vous inscrire dès maintenant pour devenir affilié à ALPHV, c’est définitivement sûr. Fais-le, poulet !