Le FBI continue de mener des actions contre le groupe APT ALPHV alias BlackCat. Le FBI a brièvement bloqué la page de fuite du groupe sur le dark web. Aujourd'hui, il est à nouveau ouvert et ALPHV annonce en russe que 3.000 XNUMX entreprises ne recevront jamais les clés de leur ransomware.
Il n’y a jamais eu d’échange de coups aussi ouvert entre le FBI et un groupe de l’APT. Le FBI a publié un communiqué indiquant qu'il avait repris plusieurs serveurs d'ALPHV et qu'il mettait désormais un outil de décryptage à la disposition de 500 victimes. "En démantelant le groupe de ransomwares BlackCat, le ministère de la Justice a de nouveau piraté les pirates", a déclaré la procureure générale adjointe Lisa O. Monaco.
🔎 La page de fuite d'ALPHV sur le darknet a été confisquée pour la première fois par le FBI (Image : B2B-C-S).
« Grâce à un outil de décryptage que le FBI a mis à la disposition de centaines de victimes de ransomwares dans le monde entier, les entreprises et les écoles ont pu rouvrir et les services de santé et d'urgence ont pu revenir en ligne. Nous continuerons de donner la priorité aux perturbations et de placer les victimes au cœur de notre stratégie visant à perturber l’écosystème qui alimente la cybercriminalité.
ALPHV contrecarre cela avec des menaces
Sur le Darknet, le FBI avait marqué la page de fuite avec une note indiquant que la page avait été « saisie ». Quelques heures plus tard, ALPHV a repris le dessus sur le site et a de nouveau « détourné » le site. Apparemment, le FBI et l'APLHV disposent des clés d'accès nécessaires au site et ne peuvent pas se bloquer mutuellement.
🔎 Mais ALPHV a pu réactiver la page de fuite et, selon ses propres mots, la « confisquer » (Image : B2B-C-S).
Sur la page débloquée, ALPHV fournit l'adresse d'un nouveau site de fuite auquel le FBI n'aurait pas accès. Le groupe menace également ouvertement en russe de savoir désormais comment le FBI y avait accès. La déclaration de guerre continue : "Le maximum dont ils (le FBI, ndlr) disposent, ce sont les clés du dernier mois et demi, cela fait environ 400 entreprises, mais maintenant plus de 3.000 XNUMX entreprises ne recevront jamais leurs clés." La menace persiste : « À cause de vos actions, nous introduisons de nouvelles règles, ou plutôt, nous supprimons TOUTES les règles…. Merci pour votre expérience, nous considérerons nos erreurs et travaillerons encore plus dur, nous attendons vos plaintes dans les chats et vos demandes de réductions qui n'existent plus.
Un nouveau site de fuite est en ligne – mais seulement 6 victimes
La nouvelle page de fuite est désormais en ligne, mais elle ne montre pour l'instant que 6 nouvelles victimes du groupe ransomware. On ne sait toujours pas dans quelle mesure l’ensemble de l’écosystème ALPHV a été détruit par le FBI. Mais le FBI a déjà prouvé à plusieurs reprises qu’il ne s’agit pas d’un tigre édenté. Cest ce qui est arrivé démanteler le gang du ransomware Ragnar LockerQue Réseau QBot ou Qakbot dissous ou le dernier Des membres du HIVE arrêtés.
Plus sur Justice.gov