24e Panocrim -9- Threat Actor : ALPHV/ BlackCat

CLUSIF

8 Feb 202407:26

Summary

TLDRBlackCat, également connu sous le nom de ALFV et Noérus, est l'un des groupes de ransomware les plus prolifiques de 2023. Ce groupe, d'origine russe, est responsable de multiples attaques de grande envergure, notamment contre des entreprises françaises et des géants comme MGM Resorts et VF Corporation. Leur modèle d'affaires repose sur le ransomware-as-a-service, ce qui leur a permis d'exfiltrer des millions de dollars en rançons. Ils sont aussi connus pour leur audace, allant jusqu'à exiger des changements dans la tarification d'accès des plateformes ou même de porter plainte contre leurs victimes. Malgré une intervention policière, BlackCat reste actif, avec un nouveau site vitrine et des cibles telles que les hôpitaux et les centrales nucléaires.

Takeaways

😀 BlackCat (ou ALFV) est l'un des groupes de rançongiciels les plus prolifiques de 2023.
😀 BlackCat utilise le modèle 'ransomware-as-a-service' et cible des entreprises et des institutions de grande envergure.
😀 En septembre 2023, le groupe a récolté environ 300 millions de dollars de rançons auprès de 1000 victimes.
😀 Le groupe BlackCat a des liens historiques avec DarkSide, notamment après l'attaque contre Colonial Pipeline en 2021.
😀 BlackCat a particulièrement ciblé des entreprises françaises, dont Mazar et VF Corporation, exfiltrant des données sensibles.
😀 En 2023, BlackCat a attaqué MGM Resorts, occasionnant des pertes estimées à plus de 100 millions de dollars.
😀 Le groupe a ouvertement moqué VF Corporation pour ses tentatives de négociation sur le montant de la rançon.
😀 En mai et juin 2023, BlackCat a attaqué Reddit et exigé une rançon de 4,5 millions de dollars, avec une demande inhabituelle de changer son modèle de tarification API.
😀 En novembre 2023, BlackCat a utilisé une méthode innovante en déposant une plainte auprès de la SEC contre Meridian, un éditeur financier, pour ne pas avoir signalé un piratage dans les délais impartis.
😀 Malgré une saisie de son site par les autorités en fin d'année 2023, BlackCat a rapidement rebondi, relançant son site et changeant ses cibles vers des hôpitaux et des centrales nucléaires.
😀 BlackCat a formé une alliance avec Logbit, un autre groupe de cybercriminels, afin de créer une coalition pour se protéger mutuellement et renforcer leurs opérations criminelles.

Q & A

Qu'est-ce que BlackCat et comment s'est-il formé ?
-BlackCat est l'un des groupes de ransomware les plus prolifiques de 2023. Il est également connu sous les noms d'ALFV et Noérus. Le groupe a émergé en novembre 2021, avec un modèle de ransomware as a service (RaaS), permettant à d'autres criminels de l'utiliser pour mener des attaques. BlackCat a des liens avec l'ancien groupe DarkSide, responsable de l'attaque contre Colonial Pipeline en 2021.
Quel a été l'impact financier des attaques de BlackCat en 2023 ?
-D'après le FBI, BlackCat aurait récupéré près de 300 millions de dollars de rançons en 2023, en ciblant environ 1000 victimes.
Pourquoi BlackCat est-il associé à DarkSide ?
-BlackCat est associé à DarkSide car il serait composé d'anciens membres de ce groupe, notamment après que DarkSide ait fermé en raison de la pression des autorités, suite à l'attaque contre Colonial Pipeline.
Quelles entreprises ont été ciblées par BlackCat en 2023 ?
-BlackCat a ciblé plusieurs entreprises importantes en 2023, notamment le cabinet d'expertise Mazar, le groupe 10 (un infogéreur), MGM Resorts, et la société de distribution VF Corporation, qui a subi des perturbations majeures dans ses activités commerciales.
Quels types de données ont été exfiltrés par BlackCat ?
-BlackCat a exfiltré des données sensibles telles que des informations personnelles et commerciales. Par exemple, plus de 700 Go de données ont été extraites du cabinet Mazar, et 200 clients de l'infogéreur groupe 10 ont vu leurs données chiffrées.
Comment BlackCat a-t-il réagi aux tentatives de négociation de rançon ?
-BlackCat a montré peu de patience pour les négociations. Par exemple, lors de l'attaque contre VF Corporation, le groupe s'est moqué de l'entreprise pour avoir tenté de négocier le paiement de la rançon à la baisse.
Qu'est-ce qui est inhabituel dans les demandes de BlackCat envers Reddit ?
-En plus de la demande classique de rançon, BlackCat a exigé que Reddit abandonne son modèle de tarification d'accès à sa plateforme via les interfaces API, ce qui est une demande assez atypique par rapport aux attaques classiques.
Que s'est-il passé en novembre 2023 avec l'éditeur Meridian ?
-En novembre 2023, BlackCat a réussi à s'introduire chez l'éditeur financier Meridian. Lorsqu'ils n'ont pas payé la rançon, BlackCat a porté plainte auprès de la SEC, car l'entreprise n'avait pas déclaré l'attaque dans les délais prévus par les nouvelles règles.
Que s'est-il passé après la fermeture du site vitrine de BlackCat ?
-Après la fermeture du site vitrine de BlackCat à la suite d'une action policière, le FBI et Europol ont récupéré les clés de chiffrement utilisées par BlackCat, ce qui a permis de déjouer plusieurs attaques. Cependant, BlackCat a rapidement relancé un nouveau site et a continué ses activités criminelles.
Comment BlackCat a-t-il évolué avec l'aide d'autres groupes de cybercriminels ?
-BlackCat a formé une coalition avec d'autres groupes de cybercriminels, notamment Logbit, pour éviter de devenir une cible individuelle. Cette alliance a été facilitée par une collaboration et un soutien mutuel entre les groupes.