Un véritable far west où tous les coups sont permis. Digne successeur de BlackMatter et REvil, l'opérateur de ransomware as a service BlackCat aka ALPHV ne cesse de monter en puissance depuis fin 2021. Mais la semaine dernère, surprise : ce dernier a mis hors ligne son infrastructure comprenant les sites de fuite de données et de négociation de rançons. Si en début de semaine ce dernier a été réactivé, toutes les données qu'il contenait ont été supprimées, et alors que certaines URL de négociation fonctionnent toujours, ce n'était pas le cas de beaucoup d'autres. L'administrateur d'ALPHV a affirmé que la panne était due à une défaillance matérielle tandis que BleepingComputer attribue à une opération de police mais le FBI s'est refusé à tout commentaire.
BlackCat/ALPHV, n'est pas le seul à qui il arrive d'étranges choses : NoEscape (anciennement lié à Avadon Ransomware) aurait aussi vu disparaitre plusieurs dépôts et peut-être même des paiements liés à ses affiliés.
Les comportements de ces opérateurs pourraient avoir un point commun : Lockbit 3.0. Ce dernier a semble-t-il tenté de convaincre BlackCat/ALPHV et NoEscape de se tourner vers lui pour faire tourner leurs affaires et pourrait bien y être parvenu. Selon notre confrère du MagIT, une revendication d'attaque concernant l'agence allemande de l'énergie publiée depuis le 6 décembre sur le site de BlackCat aka ALPHV s'est retrouvée mercredi sur celui de... LockBit 3.0.
Commentaire