Ransomware : RansomHub terre d’accueil des déçus de LockBit 3.0 et Alphv ?

Au printemps, un affidé floué lors de l’exit-scam d’Alphv (aussi appelé BlackCat) a trouvé refuge chez RansomHub. Il s’agissait de celui ayant attaqué Change Healthcare au mois de février. 

Il n’est vraisemblablement pas seul et, désormais, un ou plusieurs affidés de LockBit 3.0 pourraient l’avoir rejoint. C’est en tout cas ce que suggèrent certaines récentes revendications sur fond d’activité observable fortement réduite pour cette dernière franchise.

Ce 30 août, huit revendications de victimes présentant la même structure sont apparues sur le site vitrine de RansomHub. Leur signe distinctif ? Une image scindée en deux parties avec, à gauche, une capture d’écran d’une fenêtre de l’explorateur de Windows avec des dossiers de données attribuées à la victime et, à droite, une capture d’écran d’une liste des mêmes dossiers et données sous la forme d’un fichier texte.

Des images construites de la sorte ont été utilisées dans bon nombre de revendications de cyberattaques publiées sur le site vitrine de LockBit 3.0 au mois de mai dernier, autour du second épisode de l’opération Cronos.

Pour Bratva, un acteur bien connu de l’écosystème du ransomware, il n’y a là rien de surprenant : « RansomHub autorise certains de ses affidés à collaborer avec d’autres groupes de RaaS », explique-t-il dans un échange sur X (anciennement Twitter).

Dans un tel cas, indique-t-il, il n’y a, chez la victime, qu’une seule note de rançon, celle correspondant au RaaS gérant les négociations. Mais la répartition des gains, en cas de paiement de la rançon, peut-être « compliquée », « en fonction de celui à qui appartenait l’accès [initial], et s’il y a eu chiffrement ou pas. Là, la part de l’affidé n’est pas évidente. Il vaut mieux impliquer un “manager” ».

Pourquoi une telle souplesse ? Parce que certains affidés utilisent les enseignes de RaaS comme autant d’écrans de fumée : « il n’y a pas beaucoup d’affiliés vraiment importants et prospères. Les grands sont connus de tous les RaaS. Ils ont des comptes partout et les partenariats peuvent être compliqués. Ce n’est pas la première fois que les données d’une victime sont réparties entre [différentes vitrines] », indique Bratva.

En fait, c’est bien simple : « il n’y a pas de système et il y a trop de noms. Tout est dynamique, tout change chaque jour. Mais les gens n’aiment pas les changements et la dynamique – ils aiment simplifier et systématiser ».