Deux professionnels chargés de se défendre contre les attaques de ransomwares auraient déployé le malware ALPHV contre des entreprises américaines, exigeant des millions de dollars en cryptomonnaie.
Trois professionnels de la cybersécurité spécialisés dans l’aide aux entreprises à répondre aux attaques de ransomwares ont été accusés d’avoir mené secrètement leur propre opération de ransomware, déployant le malware ALPHV BlackCat contre au moins cinq entreprises américaines entre mai et novembre 2023.
Ryan Clifford Goldberg, 33 ans, ancien responsable de la réponse aux incidents chez Sygnia Cybersecurity Services, et Kevin Tyler Martin, 28 ans, négociateur en matière de ransomware chez DigitalMint, basé à Chicago, ont été nommés dans un acte d’accusation déposé devant le tribunal de district américain du district sud de Floride le 2 octobre. Un troisième conspirateur est resté anonyme dans les documents d’accusation, mais aurait obtenu le compte affilié d’ALPHV utilisé dans les attaques.
Le document de la Cour ne mentionne cependant pas le nom des organisations auxquelles ils étaient associés.
L’affaire a été rapportée pour la première fois par le Chicago Sun-Times.
Selon le dossier, les accusés faisaient partie d’un réseau qui s’est introduit dans les réseaux de victimes, a exfiltré des données et a déployé le ransomware BlackCat pour crypter des fichiers. « Les accusés et leur co-conspirateur ont exécuté un stratagème visant à obtenir illégalement de l’argent des victimes par le biais d’extorsion », indique l’acte d’accusation. Les attaquants auraient exigé des paiements en crypto-monnaie en échange de clés de décryptage et de l’assurance que les données volées ne seraient pas publiées sur les sites de fuite exploités par le groupe de ransomwares.
La mécanique d’une entreprise d’extorsion professionnelle
L’opération ALPHV, ont écrit les procureurs, fonctionnait comme une entreprise de ransomware-as-a-service (RaaS), un modèle dans lequel les développeurs fournissaient des logiciels malveillants et une infrastructure tandis que leurs affiliés exécutaient des attaques. « Le ransomware ALPHV/BlackCat était une variante d’un logiciel malveillant conçu pour crypter des données et voler des informations sur les réseaux des victimes », ont indiqué les procureurs dans le dossier. Des affiliés comme Goldberg et Martin auraient « identifié les victimes, obtenu un accès non autorisé à leurs systèmes et déployé le ransomware ».
Un affidavit du FBI déposé en septembre a offert un aperçu supplémentaire du fonctionnement du groupe. Il ne désigne que Ryan Goldberg et les deux autres comme co-conspirateurs 1 et 2. Le document décrit les trois accusés comme des négociateurs qui géraient le contact avec les victimes via des canaux de discussion cryptés sur le dark web. Ils auraient utilisé des pseudonymes, des transferts de crypto-monnaie à plusieurs sauts et des pièces de confidentialité comme Monero pour masquer le flux des fonds de rançon. Le FBI a qualifié la structure du groupe de « marché criminel professionnalisé », dans lequel les développeurs, les courtiers et les négociateurs jouaient chacun un rôle distinct.
L’affidavit détaille également comment les accusés ont suivi les négociations à l’aide de feuilles de calcul enregistrant les montants des rançons, les paiements reçus et les adresses des portefeuilles. « Les conspirateurs ont tenu des registres méticuleux de leurs transactions et communications », a déclaré le FBI, soulignant que ces documents aidaient les agents à retracer les fonds et à les relier aux accusés.
Les victimes et les revendications
L’acte d’accusation cite au moins cinq organisations victimes : une société de dispositifs médicaux de Floride, un fabricant pharmaceutique du Maryland, un cabinet médical californien, une société d’ingénierie californienne et une société de drones basée en Virginie. Le 13 mai 2023, les conspirateurs auraient attaqué la société floridienne, exigeant 10 millions de dollars et recevant environ 1,27 million de dollars en cryptomonnaie. Deux mois plus tard, ils ont attaqué un cabinet médical californien pour réclamer 5 millions de dollars, suivis d’attaques en octobre et novembre 2023 ciblant respectivement des sociétés d’ingénierie et de drones.
Selon les enquêteurs, le groupe retournait souvent sur des réseaux précédemment compromis pour accroître la pression sur les victimes ou exiger des paiements supplémentaires.
On peut également rappeler qu’en octobre 2024, les informations personnelles de santé de 100 millions de personnes ont été volées lors d’une attaque de ransomware contre Change Healthcare, une unité de UnitedHealth, et qu’une rançon de 22 millions de dollars a été payée. Cette attaque a ensuite été attribuée au groupe de ransomware ALPHV/BlackCat.
Les poursuites judiciaires et l’enquête
Goldberg, Martin et le co-conspirateur anonyme ont été accusés de complot visant à interférer avec le commerce par extorsion et dommages intentionnels à des ordinateurs protégés, comme décrit dans le dossier judiciaire. Chaque accusation était passible d’une peine de prison importante et les procureurs ont demandé la confiscation des actifs dérivés des attaques présumées, y compris des portefeuilles de crypto-monnaie.
Chaque accusation d’extorsion pouvait aller jusqu’à 20 ans de prison, tandis que le décompte des dommages informatiques pouvait aller jusqu’à 10 ans. Les procureurs ont également demandé la confiscation de tous les actifs issus des attaques, y compris les portefeuilles de crypto-monnaie.
« Les fonds de la rançon ont été transférés via diverses adresses de portefeuille, ce qui a rendu les efforts de traçage complexes », a écrit le FBI, ajoutant que la coopération avec les bourses étrangères et les forces de l’ordre était essentielle pour suivre les flux d’argent.
Les réponses des entreprises soulèvent des questions sur les menaces internes
Sygnia a confirmé l’emploi de Goldberg et a déclaré qu’il avait été « licencié immédiatement après avoir pris connaissance de la situation ». La société a déclaré qu’elle n’était pas la cible de l’enquête, mais « Nous continuons à travailler en étroite collaboration avec le Federal Bureau of Investigation. Nous ne pouvons pas fournir d’autres commentaires sur l’enquête fédérale en cours ».
DigitalMint n’a pas répondu à une demande de commentaire.
L’affaire met en évidence les risques de menaces internes au sein même du secteur des services de cybersécurité. Les deux accusés occupaient des postes exigeant une connaissance approfondie des opérations liées aux ransomwares et de la réponse aux incidents. Le rôle de Martin en tant que négociateur en matière de ransomware aurait permis de mieux comprendre la psychologie des victimes, les processus de paiement et les transactions en crypto-monnaie. L’expérience de Goldberg en matière de réponse aux incidents signifiait comprendre comment les organisations détectent et réagissent aux violations.
ALPHV BlackCat est apparu fin 2021 et est devenu l’une des opérations de ransomware les plus prolifiques au monde, attaquant « des centaines d’institutions à travers le monde », notamment des établissements médicaux, des districts scolaires, des cabinets d’avocats et des sociétés financières, selon l’acte d’accusation.
