Le 30 juin 2023
Sommaire
Le rançongiciel BlackCat est exploité par ALPHV. Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité ou CCC) évalue qu’ALPHV est un groupe cybercriminel presque certainement russophone et motivé par le gain financier qui adhère au modèle de rançongiciel comme service (RaaS pour Ransomware-as-a-Service) et qui est très probablement basé dans un pays de la Communauté des États indépendants (CEI).Note de bas de page 1
Les utilisatrices et utilisateurs et le code source d’ALPHV/BlackCat sont liés aux groupes de rançongiciel et aux variantes BlackMatter et DarkSide.Note de bas de page 1
Aucune tendance en ce qui a trait aux victimes ne suggère que les cibles étaient délibérées. Le Centre pour la cybersécurité évalue avec une probabilité presque certaine qu’ALPHV et ses affiliées ou affiliés choisissent leurs victimes en fonction de circonstances opportunes.
ALPHV/BlackCat représente une menace continue pour les organisations canadiennes depuis au moins janvier 2022 et continuera fort probablement de représenter une menace pour les organisations canadiennes et internationales au cours de la deuxième moitié de 2023.
Vue d’ensemble
ALPHV, un groupe cybercriminel russophone, exploite le rançongiciel BlackCat selon le modèle RaaS. Un groupe cybercriminel de rançongiciel comme service assure le bon fonctionnement d’une variante précise d’un rançongiciel, en vend l’accès à des personnes ou à des groupes d’opératrices ou opérateurs (que l’on appelle souvent des affiliées ou affiliés) et appuie le déploiement de son rançongiciel en échange d’un paiement initial, de frais d’abonnement ou d’un pourcentage des profits, ou les trois.
Le Centre pour la cybersécurité évalue qu’ALPHV est un groupe cybercriminel presque certainement russophone et motivé par le gain financier qui adhère au modèle RaaS et qui est très probablement basé dans un pays de la CEI. La CEI désigne un regroupement régional d’États qui faisaient anciennement partie de l’Union soviétique.
Les toutes premières attaques par rançongiciel liées à ALPHV/BlackCat ont été signalées en novembre 2021.Note de bas de page 2
ALPHV prétend être un groupe affilié à l’ancien groupe et rançongiciel DarkSide/BlackMatter qui a décidé de développer son propre rançongiciel. Des analystes ont toutefois spéculé qu’ALPHV/BlackCat serait en réalité d’anciennes ou anciens membres essentiels du groupe DarkSide/BlackMatter plutôt que des membres affiliées ou affiliés.Note de bas de page 3
Les opératrices ou opérateurs d’ALPHV/BlackCat offrent leur rançongiciel à de possibles affiliées ou affiliés sur des forums privés, y compris les forums du Web clandestin XSS, Exploit et RAMP5.Note de bas de page 1
Tactiques, techniques et procédures (TTP) notables
ALPHV/BlackCat est le premier rançongiciel connu à avoir été écrit dans le langage de programmation Rust. Il peut ainsi infecter à la fois les systèmes Windows et Linux.Note de bas de page 1
Les campagnes ALPHV/BlackCat comprennent souvent des tactiques de triple extorsion en demandant une rançon en échange de ce qui suit :
- le déchiffrement des fichiers infectés;
- la non-publication des données;
- le non-lancement d’attaques par déni de service (DoS).Note de bas de page 1
Plusieurs analyses détaillées de source ouverte portant sur les TTP d’ALPHV/BlackCat ont été publiées.Note de bas de page 4
Conclusion
ALPHV/BlackCat représente une menace continue pour les organisations canadiennes depuis au moins janvier 2022 et continuera fort probablement de représenter une menace pour les organisations canadiennes et internationales au cours de la deuxième moitié de 2023.