La fin est proche pour BlackCat aka ALPHV. Après avoir reçu un gros coup sur la tête en décembre dernier par une action coordonnée à l'échelle internationale par plusieurs autorités judiciaires et forces de police, le cybergang par ransomware cherche à mettre la clé sous la porte... en n'oubliant pas de partir avec la caisse. Sur un forum de hack, le cybergang a en effet annoncé avoir décidé de « fermer le projet » à cause « des fédéraux » sans s'appesantir plus sur le sujet. Mais une réaction des principaux intéressés a commencé à faire planer des soupçons sur cette affirmation, la NCA soi-disant mise en cause par BlackCat ayant par exemple infirmé les propos du groupe de cybercriminels indiquant ne pas avoir été impliqué dans cette opération.

Autre signe faisant pencher la balance sur un coup monté par BlackCat pour partir avec la caisse des rançons de ses affiliés, la bannière faisant état de la saisie de ses services. Fabian Wosar, expert en ransomware, a ainsi expliqué que la bande de ransomware avait simplement installé un serveur Python SimpleHTTPS pour diffuser la fausse bannière.

Le code source BlackCat en vente pour 5 M$

Selon BleepingComputer, BlackCat a commencé son escroquerie lorsqu'il a mis hors ligne son site de fuite de données et fermé son serveur utilisé pour négocier avec les victimes les rançons après une plainte d'un de ses affiliés (Notchy) ayant affirmé le vol d'une rançon de 22 M$ récupérée auprès de Change Healthcare. Selon cet affilié, l'adresse du destinataire, qui appartiendrait aux opérateurs d'ALPHV, a distribué les bitcoins à divers portefeuilles dans des transactions égales d'environ 3,3 M$. Notchy ne serait pas le seul affilié touché puisque cette adresse aurait été utilisée pour des versements atteignant 94 M$, suggérant ainsi que d'autres partenaires du cybergang ont aussi été escroqués. Des arroseurs bien arrosés.

Comme un point d'orgue à cette affaire, BlackCat a indiqué dans la foulée vendre le code source de son malware pour 5 M$, mettant ainsi un point final à ses activités. Une situation confirmée par dans un message sur un forum de hackers partagé par Dmitry Smilyanets de Recorded Future dans lequel les administrateurs du groupe ont « décidé de fermer complètement le projet » et qu'ils se sont bien fait avoir par les fédéraux.