Un groupe international d’organismes chargés de l’application de la loi a saisi le site de fuite sur le dark web du célèbre gang de ransomwares connu sous le nom d’ALPHV, ou BlackCat.
« Le Federal Bureau of Investigation a saisi ce site dans le cadre d’une action coordonnée des forces de l’ordre contre ALPHV Blackcat Ransomware », lit-on maintenant dans un message sur le site de fuite du dark web du gang, vu par TechCrunch.
Selon le splash, l’opération de retrait a également impliqué les forces de l’ordre du Royaume-Uni, du Danemark, de l’Allemagne, de l’Espagne et de l’Australie.
Dans une annonce ultérieure confirmant la perturbation, le ministère américain de la Justice a déclaré que l’effort international de démantèlement, mené par le FBI, avait permis aux autorités américaines d’acquérir une visibilité sur l’ordinateur du groupe de ransomware afin de saisir « plusieurs sites Web » exploités par ALPHV.
Le FBI a également publié un outil de décryptage qui a déjà permis à plus de 500 victimes du ransomware ALPHV de restaurer leurs systèmes. (Le mandat de perquisition du gouvernement évalue le nombre de victimes à 400.) Le FBI a déclaré avoir travaillé avec des dizaines de victimes aux États-Unis, leur évitant ainsi de payer des demandes de rançon totalisant environ 68 millions de dollars.
L’annonce du gouvernement indique que l’ALPHV a compromis les réseaux de plus de 1 000 victimes dans le monde pour gagner des centaines de millions de dollars. Le gang a ciblé les infrastructures critiques américaines, notamment les installations gouvernementales, les services d’urgence, les entreprises industrielles de défense, les industries manufacturières critiques et les établissements de santé et de santé publique – ainsi que d’autres entreprises, écoles et entités gouvernementales, selon le DOJ.
Selon le mandat de perquisition du gouvernement, le FBI a déclaré avoir engagé une « source humaine confidentielle » proche du gang de ransomwares, qui a fourni aux agents des informations d’identification leur permettant d’accéder au panel d’affiliés d’ALPHV/BlackCat utilisé pour gérer les victimes du gang.
Le Département d’État a précédemment déclaré qu’il récompenserait les personnes avec des informations « sur Blackcat, leurs filiales ou leurs activités ».
« En perturbant le groupe de ransomwares BlackCat, le ministère de la Justice a une fois de plus piraté les pirates », a déclaré la procureure générale adjointe des États-Unis, Lisa Monaco, dans un discours. « Grâce à un outil de décryptage fourni par le FBI à des centaines de victimes de ransomwares dans le monde, les entreprises et les écoles ont pu rouvrir, et les services de santé et d’urgence ont pu revenir en ligne. Nous continuerons de donner la priorité aux perturbations et de placer les victimes au centre de notre stratégie visant à démanteler l’écosystème qui alimente la cybercriminalité.
Les porte-parole du FBI et de la National Crime Agency du Royaume-Uni n’ont pas répondu aux demandes de commentaires de TechCrunch.
La porte-parole d’Europol, Ina Mihaylova, a confirmé l’implication de l’agence dans l’opération, mais a refusé de commenter davantage.
Le gang de ransomwares ALPHV/BlackCat a été l’un des plus actifs et destructeurs de ces dernières années. Considéré comme le successeur du groupe de piratage REvil, aujourd’hui disparu, ALPHV affirme avoir compromis un certain nombre de victimes de premier plan, notamment le site de partage d’informations Reddit, la société de soins de santé Norton et le Barts Health NHS Trust du Royaume-Uni.
Ces derniers mois, les tactiques du groupe sont devenues de plus en plus agressives. En novembre, l’ALPHV a déposé une plainte, la première du genre, auprès de la Securities and Exchange Commission (SEC) des États-Unis, alléguant que le fournisseur de prêts numériques MeridianLink n’avait pas divulgué ce que le gang a appelé « une violation importante compromettant les données des clients et les informations opérationnelles ». » dont le gang s’est attribué le mérite.
Mis à jour avec les commentaires d’Europol et des détails supplémentaires du DOJ.