Qui a dit qu’il y avait « de l’honneur parmi les voleurs » ?
Résumer: Il y a quelques semaines, un groupe de hackers russes a complètement paralysé une partie importante du secteur américain de la santé. Le groupe a lancé une attaque de ransomware contre un système national de gestion des soins de santé géré par Optum qui gère les comptes des patients, y compris le traitement des paiements, les commandes d’ordonnances et les réclamations d’assurance. En plus de chiffrer le système, AlphV affirme avoir exfiltré une quantité inconnue de données.
La semaine dernière, Optum aurait payé AlphV (également connu sous le nom de Black Cat) pour supprimer le ransomware et supprimer les données volées. Bien que la société soit restée discrète sur l’incident, le grand livre de Blockchain montre sept transferts de 3 348 114 $ effectués vendredi du même compte vers sept comptes différents. Moins les frais, le dépôt s’élevait à environ 22 millions de dollars. Optum a refusé de commenter lorsqu’on lui a demandé s’il payait AlphV.
Dimanche, une personne anonyme a apparemment confirmé le paiement de 22 millions de dollars sur un forum du dark web. Le groupe a déclaré s’être associé à AlphV pour exfiltrer 4 To de données. Il affirme en outre qu’AlphV a vidé le compte illicite et fantôme le groupe. Par conséquent, il a conservé les informations plutôt que de les supprimer.
Affiliés frauduleux #ALPHV ? 22 millions de dollars payés et retirés pic.twitter.com/0ocKoXNLme
– �*��-‘�-��-��–�-� �*��-‘� -��-‘�-��-��-« �-��-��-� (@ddd1ms) 4 mars , 2024
Selon le groupe, il dispose de « données critiques » qu’Optum craignait de divulguer, ce qui l’a incité à payer la rançon. Bien qu’il ne précise pas précisément ce que contient le cache de 4 To, le groupe affirme qu’il appartient à plus de dizaines de prestataires de soins de santé et de compagnies d’assurance, dont Medicare, CVS-Caremark, Loomis et Metlife.
Mardi, le site Internet sombre d’AlphV a commencé à afficher un avis de saisie. Le groupe semble avoir été piqué par le FBI et d’autres agences étrangères. Le FBI a refusé de commenter le retrait, ce qui n’est pas inhabituel, surtout si l’opération implique plusieurs groupes de pirates informatiques. Cependant, le message de saisie citait la National Crime Agency du Royaume-Uni, qui a déclaré qu’elle n’avait rien à voir avec le démantèlement du groupe.
Plus tard, les chercheurs enquêtant sur la saisie présumée ont découvert que la page semblait avoir été copiée à partir d’une autre saisie du site Web AlphV et collée dans sa version actuelle. La société indépendante de recherche sur les ransomwares Emisoft a confirmé que ce que le groupe anonyme avait dit dimanche était vrai.
Une URL d’image comme celle-ci est ce que Firefox et le navigateur Tor créent lorsque vous utilisez la fonction « Enregistrer la page sous » pour enregistrer une copie d’un site Web sur le disque. Voici à quoi ressemble l’URL du logo dans le véritable avis de retrait. pic.twitter.com/aTHA49ItyO
– Fabian Wosar (@fwosar) 5 mars 2024
« Puisque les gens continuent de se laisser prendre au piège de la dissimulation d’ALPHV/BlackCat : ALPHV/BlackCat n’a pas été saisi », a déclaré Fabian Wosar, chercheur en chef d’Emisoft. « Ils escroquent leurs affiliés. Cela est flagrant lorsque vous vérifiez le code source du nouvel avis de retrait. »
Selon Wosar, le code source de la page montrait la preuve que quelqu’un avait copié l’avis à l’aide de la commande Fichier > Enregistrer la page dans le navigateur Tor. La source copiée provenait d’un autre site AlphV que le FBI avait précédemment fermé. Le contrefacteur a ensuite inséré le code dans le site Web sombre actuel d’AlphV. Depuis la découverte de Wosar, l’auteur du crime a effacé ces preuves, ce qui indique encore davantage qu’AlphV simule sa disparition aux mains du gouvernement fédéral.
Un nuage d’incertitude plane sur ce qu’AlphV pourrait faire ensuite. Les spéculations affirment que le groupe, désormais doté de liquidités, pourrait rester discret pendant un certain temps. Cependant, il est probable qu’il se réorganisera et émergera sur le dark web sous un nom différent – une pratique courante parmi les groupes de hackers se sentant menacés par les autorités. On ne sait pas ce que l’équipe de hackers abandonnée fera avec ses 4 To de données.