Selon certaines rumeurs, une opération des forces de l'ordre serait à l'origine d'une panne affectant les sites Web du gang de ransomwares ALPHV au cours des 30 dernières heures.

Les sites de négociation et de fuite de données ALPHV (alias BlackCat) est soudainement devenu indisponible hier et continuent de rester en baisse aujourd'hui.

BleepingComputer a également confirmé que les URL de négociation Tor uniques partagées avec les victimes dans les notes de rançon sont également en panne, ce qui indique une perturbation de l'infrastructure publique du gang de ransomwares et un arrêt des négociations en cours.

Interrogé hier sur la perturbation, l'administrateur d'ALPHV a déclaré à BleepingComputer que les sites pourraient bientôt être de nouveau en ligne.

C'était il y a 20 heures et les sites restent indisponibles à cette heure.

Le statut Tox de l'administrateur affirme que l'opération répare leurs serveurs, mais ils n'ont pas répondu aux questions sur ce qui s'est passé.

Cependant, BleepingComputer soupçonne que le gang de ransomwares aurait pu faire l'objet de mesures policières potentielles après leurs récentes activités, ce qui a également été évoqué par d'autres.

« J'ai entendu des rumeurs folles (et fortes) selon lesquelles ALPHV/Blackcat aurait reçu la visite du FBI », lit-on dans un tweet d'un certain Evangelos G.

Bien qu'il n'ait pas été confirmé si le FBI ou tout autre organisme chargé de l'application des lois a violé les serveurs d'ALPHV, des opérations similaires ont eu lieu dans le passé.

Par exemple, lorsque le FBI a piraté les serveurs de REvil, il a obtenu les clés de décryptage des victimes de l'attaque du ransomware Kaseya.

De la même manière, le FBI a piraté l'infrastructure de Hive, obtenant secrètement des clés de décryptage et les diffusant aux victimes.

BleepingComputer a contacté le FBI au sujet de la perturbation du site Web d'ALPHV, mais celui-ci a refusé de commenter.

Un changement de marque en préparation

On pense que l’opération de rançongiciel ALPHV/BlackCat est une nouvelle image du gang DarkSide. L’opération a été lancée en 2020 et a rapidement pris de l’importance au cours de l’année suivante.

Cependant, après avoir attaqué Colonial Pipeline, le gang de ransomwares a fait l’objet d’une surveillance étroite de la part du gouvernement américain et des forces de l’ordre internationales, ce qui a finalement conduit à la saisie de leur infrastructure et à l’arrêt de l’opération.

Quelques mois plus tard seulement, le gang des ransomwares est revenu, cette fois sous le nom de BlackMatter. Cependant, les responsables de cette opération ont affirmé dans une interview qu'ils étaient affiliés à l'opération DarkSide et non les dirigeants d'origine.

À peine quatre mois plus tard, BlackMatter a mis fin à ses activités en novembre 2021 après avoir affirmé subir la pression des forces de l'ordre.

En février 2022, le groupe de ransomwares est revenu à nouveau, cette fois sous le nom d'ALPHV, également connu sous le nom de BlackCat en raison d'une image utilisée sur leurs sites de négociation Tor.

Bien que ce changement de marque ait commencé comme la plupart des gangs de ransomwares, ciblant les entreprises dans le cadre d'attaques d'extorsion dans le monde entier, ils ont étendu leurs opérations en s'associant avec des filiales anglophones et en ciblant les infrastructures critiques, telles que les hôpitaux et les fournisseurs d'eau.

Pour cette raison, ce n’était qu’une question de temps avant qu’ils ne ressentent à nouveau l’attention des forces de l’ordre, qu’il s’agisse de cette perturbation ou d’une perturbation future.