Le FBI démantèle BlackCat, qui réagit vivement

Le FBI a annoncé, le 19 décembre 2023, avoir infiltré le groupe cybercriminel russe BlackCat / ALPHV, numéro 2 mondial des attaques par rançongiciels. L’agence fédérale a saisi le site du gang sur le darknet, et mis la main sur des clés de déchiffrement, qui ont permis à plus de 500 organisations de récupérer leurs données.

« Grâce à l’outil de déchiffrement fourni par le FBI à des centaines de victimes du ransomware dans le monde entier, des entreprises et des écoles ont pu rouvrir leurs portes, et des services de santé et d’urgence ont pu être rétablis. Nous continuerons (…) à placer les victimes au centre de notre stratégie visant à démanteler l’écosystème qui alimente la cybercriminalité », a commenté Lisa O. Monaco, procureure générale adjointe des États-Unis.

BlackCat a vivement réagi à cette opération. Le Ransomware-as-a-Service (RaaS) a d’abord repris temporairement le contrôle de son site sur le darkweb, puis a affirmé que le FBI n’avait atteint qu’une partie de son infrastructure. Selon le groupe cybercriminel, l’action des autorités aurait par ailleurs rendu impossible le futur déchiffrement des données de 3 000 autres victimes.

Pour inciter ses affiliés à continuer de lancer des attaques, le groupe a également baissé drastiquement ses commissions à 10% du butin, contre 20% à 40% précédemment. BlackCat a surtout levé toutes les interdictions qu’il imposait à ses membres, notamment celles d’attaquer les hôpitaux ou les infrastructures critiques.

« Nous introduisons de nouvelles règles, ou plutôt, nous supprimons TOUTES les règles à l’exception d’une seule : vous ne pouvez pas toucher la CEI [l’organisation intergouvernementale regroupant neuf ex-républiques soviétiques, menée par la Russie, NDLR]. Vous pouvez désormais bloquer des hôpitaux, des centrales nucléaires, n’importe quoi, n’importe où », indiquent ainsi les cybercriminels.