Le célèbre cybercriminel distribue Conti et Lockbit 3.0. Ils ont présenté une recherche avancée à partir des mots de passe des victimes et des fuites de fichiers privés dans le réseau TOR.
Resecurity (USA), une société de cybersécurité basée à Los Angeles sécurisant les entreprises du Fortune 500, a en fait détecté une augmentation considérable de la valeur des demandes de rançon du célèbre gang de rançongiciels Blackcat. Selon les spécialistes, le célèbre cybercriminel distribue activement en concurrence avec Conti et la version mise à jour de Lockbit 3.0, et a récemment introduit une recherche par mots de passe de victimes volées et des documents personnels déversés dans le réseau TOR.
Sur la base des victimes en danger observées tout récemment dans la région nordique (qui n’ont pas encore été divulguées par le groupe), le total à payer dépasse les 2 millions de dollars. Parmi les méthodes utilisées, des offres de près de 50 % de taux de remise à la victime dans le cas où elle est prête à payer – un certain nombre de besoins de rançon évalués à 14 millions de dollars ont été réduits à 7 millions de dollars, mais ces montants sont encore compliqués pour les entreprises traitant de la cybersécurité événements. Le besoin de rançon le plus typique pratiqué par BlackCat a bondi jusqu’à 2,5 millions de dollars et il semble que sa trajectoire ne fera que croître.
Le paiement moyen d’un rançongiciel a augmenté de 82 % depuis 2020 pour atteindre un niveau record de 570 000 $ au premier semestre 2021, puis en 2022, il a presque doublé. La dernière projection est que l’activité mondiale d’extorsion de ransomwares atteindra 265 milliards de dollars d’ici 2031, avec des dommages totaux pour les services évalués à 10,5 billions de dollars à l’échelle internationale. Ces mesures suggèrent que les ransomwares sont la plus grande « économie souterraine » au monde, générant plus de dommages et de coûts que les catastrophes naturelles.
BlackCat opère en fait depuis au moins novembre 2021 et a lancé des attaques importantes en janvier pour interrompre OilTanking GmbH, une entreprise allemande de carburant, et en février 2022, l’attaque contre une compagnie aérienne, Swissport. Le groupe cible des services de premier plan dans des secteurs vitaux tels que l’énergie, les banques, les services juridiques et l’innovation.
Le ransomware Blackcat est l’un des groupes clandestins RaaS (Raansomware-as-a-Service) à la croissance la plus rapide, pratiquant ce qu’on appelle la « quadruple extorsion » en poussant les victimes à payer – en tirant parti du cryptage, du vol de données, du déni de service (DoS) et harcèlement.
Le BlackCat est également connu sous le nom de « ALPHV », ou « AlphaVM » et « AphaV », une famille de rançongiciels créée dans le langage des programmes Rust. Le leader du groupe avec un alias similaire dans les communications sur les forums en ligne du Dark Web a décrit Rust comme l’un des avantages concurrentiels de leur casier par rapport à Lockbit et Conti. Indépendamment du fait que Blackcat et Alpha ont des URL entièrement différentes dans TOR Network, les situations de script utilisées sur leurs pages sont identiques et probablement développées par les mêmes acteurs. Les deux projets utilisent un ensemble innovant d’obscurcissement basé sur JS pour protéger la page de l’analyse gérée par 3 scripts composés de la même manière.
Le groupe était le leader de la recherche dans les informations indexées prises – permettant aux clients et aux travailleurs de l’entreprise concernée d’inspecter les informations exposées. Cette technique est utilisée comme l’un des moteurs d’un plus grand nombre de recours collectifs qui pourraient être soumis par des personnes insatisfaites qui verront leurs données ou leurs interactions affectées en raison du manque de sécurité des informations provoqué par des violations d’informations. Dans un article actuel du 10 juillet 2022, 15h35 sur Dark Web, « ALPHV » a introduit la recherche non seulement par signatures de texte, mais également en prenant en charge les balises pour la recherche de mots de passe et les PII compromis. Il semble que quelques-uns des fichiers volés soient toujours en cours d’indexation, mais la majorité est actuellement facilement disponible pour une navigation rapide. Il y avait plus de 2 270 documents indexés déterminés, y compris l’accès aux qualifications et aux informations de mot de passe en texte clair, et plus de 100 000 fichiers contenant un marquage confidentiel, y compris des interactions par e-mail indexées et des pièces jointes délicates.
ALPHV semble être en concurrence significative avec Lockbit 3.0 et Conti – un autre rançongiciel qui établit activement des distributions qui a appelé ALPHV « escrocs ». Il est probable que la déclaration soit liée à un différend et à des préoccupations entre les affiliés et l’employé qui pourraient être liés aux deux emplois à différentes phases.
ALPHV a en fait été associé à deux autres groupes de rançongiciels : DarkSide et BlackMatter. Les chevauchements de conception entre ALPHV et DarkSide ont suscité des rapports selon lesquels ALPHV était une nouvelle image de DarkSide. Sur les forums clandestins de cybercriminels, l’agent du rançongiciel « LockBit » a également lancé des fils de discussion mentionnant qu’ALPHV était une nouvelle image des programmes DarkSide et BlackMatter RaaS. Alors qu’ALPHV a rejeté le changement de nom de DarkSide ou BlackMatter, les développeurs et les blanchisseurs d’argent d’ALPHV sont liés à DarkSide/BlackMatter, selon le FBI. Pour cette raison, même si ALPHV n’est peut-être pas une nouvelle image de marque, il est fort probable que le groupe ait recruté de nombreux membres parmi ces gangs de rançongiciels désormais inactifs.
Le groupe a libéré de toutes nouvelles victimes – « COUNT CARE » Gmbh (une entreprise allemande de technologies et de services de l’information), après Dusit D2 Kenz Hotel à Dubaï, Sinclair Wilson (une société de services de comptabilité et de gestion de patrimoine d’Australie) et Adler Display de Baltimore, Maryland.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
