Fermeture du groupe BlackCat Ransomware après une arnaque à la sortie de 22 millions de dollars

La saga entourant le ransomware BlackCat (ALPHV Ransomware) a pris une tournure dramatique puisque les acteurs de la menace à l'origine de ce ransomware ont apparemment disparu, laissant derrière eux confusion et spéculations. Les rapports indiquent qu'ils ont orchestré une arnaque à la sortie, fermant leur site Web darknet et laissant leurs affiliés dans le pétrin.

Le chercheur en sécurité Fabian Wosar a souligné la nature suspecte de l'événement, soulignant des divergences dans la prétendue bannière de saisie des forces de l'ordre téléchargée sur le site. Cette décision, selon Wosar, est un indicateur clair d’une escroquerie à la sortie plutôt que d’une saisie légitime par les autorités.

Malgré les allégations d'implication des forces de l'ordre, la National Crime Agency du Royaume-Uni a nié tout lien avec la perturbation de l'infrastructure de BlackCat. Des captures d'écran partagées par Dmitry Smilyanets, chercheur en sécurité chez Recorded Future, ont révélé l'intention des acteurs du ransomware de vendre leur code source pour une grosse somme de 5 millions de dollars, citant l'interférence des forces de l'ordre comme raison de leur disparition brutale.

La situation s'est encore aggravée avec des allégations selon lesquelles BlackCat aurait reçu une rançon massive de 22 millions de dollars de la part de l'unité Change Healthcare d'UnitedHealth et n'aurait pas réussi à la partager avec une filiale impliquée dans l'attaque. L'affilié mécontent, dont le compte a été suspendu par le personnel administratif de BlackCat, a exprimé ses doléances sur le forum de cybercriminalité RAMP, accusant BlackCat d'avoir vidé trompeusement le portefeuille partagé.

Les spéculations abondent concernant l'avenir de BlackCat, certaines suggérant un effort de changement de marque pour échapper à tout examen minutieux et poursuivre ses opérations sous une nouvelle identité. L'histoire mouvementée du groupe, notamment les saisies antérieures de ses infrastructures, ajoute à l'intrigue entourant leur disparition soudaine.

Malachi Walker, un conseiller en sécurité, a donné un aperçu des motifs possibles de l'arnaque à la sortie, citant des inquiétudes concernant la sécurité interne et l'attrait d'encaisser alors que les valeurs des cryptomonnaies sont élevées. Cette décision risque cependant de nuire à la réputation du groupe et d'éroder la confiance entre ses filiales.

La disparition de BlackCat coïncide avec l'évolution du paysage des ransomwares, notamment des changements dans les opérations d'autres groupes comme LockBit et l'émergence de nouvelles menaces telles que RA World. Ces incidents soulignent la nature évolutive des cybermenaces et les défis auxquels sont confrontées les organisations pour s'en défendre.