Picus Security détaille les tactiques du rançongiciel ALPHV/BlackCat après l'attaque contre Change Healthcare

La société de cybersécurité Picus Security a publié une analyse détaillée du groupe de rançongiciels ALPHV, également connu sous le nom de BlackCat. Ce groupe a attiré une attention considérable suite à son attaque contre Change Healthcare en février 2024, qui a gravement perturbé le secteur de la santé américain.

Suite à l'attaque, Change Healthcare aurait payé une rançon de 22 millions de dollars à ALPHV. La violation a compromis les informations personnelles de plus de 100 millions d'individus, marquant la plus grande violation de données de santé de l'histoire des États-Unis. Le Département d'État américain a offert des récompenses pour toute information menant à l'identification ou à la capture des dirigeants d'ALPHV/BlackCat.

L'analyse de Picus Security se concentre sur un échantillon spécifique de logiciel malveillant, "Asss1exe.bin", qui était encore en cours d'analyse active fin janvier 2025. Cela indique la poursuite des opérations du groupe et la menace continue qu'ils représentent. Le rapport détaille les tactiques, techniques et procédures (TTP) spécifiques employées par les acteurs de la menace.

BlackCat fonctionne sur un modèle de Ransomware-as-a-Service (RaaS), fournissant son rançongiciel à d'autres cybercriminels en échange d'une part des profits. Le groupe attire des affiliés en leur offrant une part substantielle des bénéfices, rapportée à 80-90%, ce qui incite à la réinvestissement et à la mise à l'échelle des opérations. Ce modèle économique est crucial pour l'expansion et l'impact du groupe.

Le groupe ALPHV/BlackCat a été associé à plusieurs autres incidents cybernétiques de grande envergure. Ceux-ci incluent une violation de données chez Reddit en février 2023 et des attaques contre MGM Resorts et Caesars Entertainment en septembre 2023. Ces incidents soulignent la sophistication croissante du groupe et son impact généralisé sur les grandes organisations.