On sait que le monde du ransomware fonctionne comme une industrie bien huilée. Lorsque l’un des groupes disparaît dans l’ombre, un autre vient prendre sa place, souvent reprenant tout ou partie du disparu. BlackCat, ou ALPHV, ne déroge pas à la règle.
C’est une interview surréaliste qu’a mené Dmitry Smilyanets pour Recorded Future. Son interlocuteur ? L’un des membres du groupe de ransomware ALPHV, également surnommé BlackCat. Si les propos de ce dernier sont à prendre avec des pincettes, il éclaire les activités criminelles du groupe.
Ainsi, ce membre d’ALPHV assure que les membres de ce groupe qui a émergé en fin d’année dernière est constitué d’autres cybercriminels affiliés de certains de ransomwares les plus connus, REvil, DarkSide ou encore Egregor. Il décrit le groupe comme composé de « adverts », des partenaires, des affiliés, sans lien direct avec les autres logiciels malveillants susmentionnés, sinon avoir « emprunté leurs avantages et éliminé leurs inconvénients ».
Fanfaronnades
Malgré ces déclarations, et à l’exception de code en RUST, on retrouve chez BlackCat de nombreuses caractéristiques de DarkSide et de REvil, que ce soit dans le modus operandi ou dans le code du ransomware. D’autant qu’il justifie l’emploi de tokens uniques pour chaque victime par le mal fait à DarkSide par Emsisoft, l’éditeur ayant exploité des failles du ransomware désormais disparu pour le déchiffrer.
Par ailleurs, cette interview donne un éclairage intéressant sur les relations entre les différents groupes. Car l’individu interrogé dénigre ouvertement Conti et Lockbit, estimant qu’il n’existe pas de « logiciel à la hauteur [d’ALPHV] sur le marché », et boxer dans une catégorie différente de ses concurrents. Revenant par ailleurs sur la gamme complète de services liés à la rançon que le groupe fournit, décrite comme une « conciergerie premium », il se félicite des résultats du ransomware tels que rapportés par les médias.