Gardiens devenus hackers : la double vie des experts américains en cybersécurité dans le monde souterrain du ransomware BlackCat

Dans un renversement de rôles saisissant, deux vétérans de la défense du monde numérique ont admis avoir orchestré une série de cyberattaques à haut risque, trahissant la confiance que leur accordaient les entreprises américaines. Cette révélation au tribunal a provoqué une onde de choc dans la communauté de la cybersécurité, exposant la façon dont l’expertise interne peut devenir une arme entre de mauvaises mains - et comment le monde lucratif du ransomware attire même ceux qui sont censés le combattre.

En bref

• Deux professionnels américains de la cybersécurité ont plaidé coupable d’avoir agi en tant qu’affiliés du groupe de ransomware ALPHV/BlackCat.
• Le duo a extorqué 1,2 million de dollars en Bitcoin à une seule victime en 2023, partageant les gains avec un complice et les développeurs du ransomware.
• Ils ont exploité leurs connaissances avancées des défenses réseau pour pénétrer les systèmes de victimes à travers les États-Unis.
• Le FBI a perturbé les opérations d’ALPHV/BlackCat en décembre 2023, évitant à des victimes de payer environ 99 millions de dollars de rançons potentielles.
• Les deux accusés risquent jusqu’à 20 ans de prison, le prononcé de la peine étant prévu pour mars 2026.

Ryan Goldberg, de Géorgie, et Kevin Martin, du Texas, n’étaient pas des cybercriminels ordinaires. De jour, ils étaient des professionnels de la sécurité dignes de confiance ; de nuit, ils devenaient architectes de l’extorsion, utilisant leurs connaissances internes pour cibler les systèmes qu’ils avaient juré de protéger. Leur transformation de gardiens à adversaires a été alimentée par la promesse d’argent facile sur le marché obscur du ransomware en tant que service (RaaS).

Entre avril et décembre 2023, Goldberg et Martin se sont associés à un complice non identifié, opérant comme affiliés pour ALPHV/BlackCat - une opération de ransomware prolifique responsable d’attaques contre plus d’un millier d’organisations dans le monde. Pour une part de 20 % de leurs gains illicites, le duo a eu accès au malware sophistiqué et à l’infrastructure de BlackCat, ce qui leur a permis de se concentrer sur l’identification et l’exploitation de cibles de grande valeur.

Leurs attaques se sont révélées terriblement efficaces, leur rapportant 1,2 million de dollars en Bitcoin d’une seule victime. Le trio a blanchi sa part à travers un labyrinthe de canaux de cryptomonnaie, espérant brouiller les pistes. Mais leur expertise technique n’a pas suffi à tromper les enquêteurs fédéraux. Le FBI, en partenariat avec l’U.S. Secret Service, a reconstitué les traces numériques, aboutissant aux aveux de culpabilité des deux hommes.

L’affaire met également en lumière la menace croissante du RaaS : les développeurs créent et maintiennent les malwares, tandis que les affiliés - souvent issus du secteur légitime de la cybersécurité - mènent les attaques. Cette division du travail, et l’attrait de gains massifs, brouillent la frontière entre défenseurs et attaquants. Le démantèlement par le ministère de la Justice de l’infrastructure de BlackCat fin 2023, incluant la distribution d’un outil de déchiffrement à des centaines de victimes, a souligné la capacité des forces de l’ordre à riposter, économisant des millions aux victimes potentielles.

Alors que Goldberg et Martin attendent leur condamnation, leur histoire sert d’avertissement : dans l’univers obscur de la cybercriminalité, même les professionnels les plus fiables peuvent devenir des menaces. L’affaire soulève des questions urgentes sur le contrôle, la surveillance et le pouvoir de séduction de l’économie criminelle du dark web.

WIKICROOK

• Ransomware : Le ransomware est un logiciel malveillant qui chiffre ou verrouille des données, exigeant un paiement des victimes pour restaurer l’accès à leurs fichiers ou systèmes.
• Affilié : Un affilié est un criminel ou groupe indépendant qui utilise les outils d’une organisation cybercriminelle plus vaste pour lancer des attaques, partageant les profits avec le fournisseur.
• Ransomware : Le ransomware est un logiciel malveillant qui chiffre ou verrouille des données, exigeant un paiement des victimes pour restaurer l’accès à leurs fichiers ou systèmes.
• Bitcoin : Le Bitcoin est une monnaie numérique permettant des paiements directs en ligne. Son anonymat en fait un choix courant pour les paiements de rançon lors de cyberattaques.
• Outil de déchiffrement : Un outil de déchiffrement est un logiciel qui inverse le chiffrement, restaurant l’accès aux données verrouillées ou protégées à l’aide de clés ou d’algorithmes cryptographiques.