ALPHV/BlackCat : le premier rançongiciel en Rust

La migration des logiciels malveillants de C et C++ vers Rust, un langage informatique beaucoup plus sûr, préoccupe les chercheurs en cybersécurité. Identifier des faiblesses de codage dans une souche écrite en Rust s’avère en effet beaucoup plus difficile.

Or, plusieurs chercheurs ont mis à jour, en décembre 2021, un nouveau Ransomware-as-a-Service, nommé ALPHV (ou BlackCat), qui serait le premier à distribuer une souche de rançongiciel écrite en Rust.

ALPHV serait actuellement particulièrement actif, recrutant des opérateurs de plusieurs gangs de rançongiciel de premier plan, comme REvil, BlackMatter ou DarkSide, offrant à ses affiliés jusqu’à 90 % des rançons. Varonis a identifié plus de vingt organisations victimes de ce nouveau type de rançongiciel à fin janvier 2022, mais estime le nombre total de victimes beaucoup plus élevé.

Selon les chercheurs de Recorded Future, l’auteur du code d’ALPHV/BlackCat a été précédemment impliqué dans REvil : il publierait dans plusieurs forums cyber-criminels en langue russe, sous le nom de « Binrs ». KrebsOnSecurity a mené l’enquête, notamment auprès d’un programmeur russe, spécialisé en Rust et aux activités ambigües : le site conclut que Binrs pourrait être la dénomination d’un groupe de programmeurs.

Après la publication de ces enquêtes, le profil Binrs a d’ailleurs été banni (ou s’est désinscrit) de plusieurs forums où il était actif.