Les opérateurs du ransomware ALPHV ont fait preuve de créativité dans leur tactique d'extorsion et, dans au moins un cas, ont créé une réplique du site de la victime pour y publier des données volées.

Il semble que ALPHV, également connu sous le nom de BlackCat ransomware, soit connu pour tester de nouvelles tactiques d'extorsion afin de faire pression sur ses victimes et de les pousser à payer.

Le 26 décembre, l'acteur de la menace a publié sur son site de fuite de données caché sur le réseau Tor qu'il avait compromis une entreprise de services financiers.

Comme la victime n'a pas satisfait aux exigences de l'acteur de la menace, BlackCat a publié tous les fichiers volés à titre de sanction - une étape standard pour les opérateurs de ransomware.

Contrairement à la procédure habituelle, les pirates ont décidé de diffuser les données sur un site qui imite celui de la victime en termes d'apparence et de nom de domaine.

Les pirates n'ont pas conservé les rubriques originales du site. Ils ont utilisé leurs propres rubriques pour organiser les données divulguées.

Le site cloné se trouve sur le net pour assurer une large disponibilité des fichiers volés. Il présente actuellement divers documents, tels que des notes de service au personnel, des formulaires de paiement, des informations sur les employés, des données sur les actifs et les dépenses, des données financières sur les partenaires et des scans de passeport.

Au total, il y a 3,5 Go de documents. ALPHV a également partagé les données volées sur un service de partage de fichiers qui permet le téléchargement anonyme et a diffusé le lien sur son site de fuite.

Bien que ces tactiques puissent ne pas être couronnées de succès, elles introduisent un paysage de menaces toujours plus grand, ce qui place la victime dans une position plus délicate puisque ses données sont facilement accessibles sans aucune restriction.

Les opérations de ransomware ont toujours cherché de nouvelles options pour extorquer leurs victimes. Entre la publication du nom de l'entreprise victime de la violation, le vol de données et la menace de les publier si la rançon n'est pas payée, et la menace DDoS, cette tactique pourrait représenter le début d'une nouvelle tendance qui pourrait être adoptée par d'autres gangs de ransomware, d'autant plus que les coûts pour le faire sont loin d'être significatifs.

ALPHV est la première bande de ransomware à créer une recherche de données spécifiques volées à leurs victimes. Ces pages permettent aux clients et aux employés de leurs victimes de vérifier si leurs données ont été volées par les pirates.