En bref

  • Deux professionnels américains de la cybersécurité ont plaidé coupable pour leur rôle d affiliés du ransomware BlackCat/ALPHV
  • Un incident responder de Sygnia et un négociateur de DigitalMint — 9,5 millions de dollars de pertes, dont des hôpitaux visés
  • L affaire soulève des questions majeures sur le contrôle des accès et la vérification des antécédents dans le secteur cyber

Les faits

Ryan Goldberg, 40 ans, ancien responsable de la réponse à incidents chez Sygnia, et Kevin Martin, 36 ans, ex-négociateur ransomware chez DigitalMint, ont plaidé coupable devant le tribunal fédéral de Miami pour leur participation à une conspiration d extorsion utilisant le ransomware BlackCat (ALPHV). Entre avril et décembre 2023, les deux hommes et un complice ont ciblé cinq entreprises américaines, dont trois organisations de santé, causant des pertes estimées à 9,5 millions de dollars selon le Department of Justice.

L ironie est brutale : Goldberg était payé pour défendre les entreprises contre les ransomwares tandis qu il opérait comme affilié BlackCat. Martin, lui, négociait les rançons côté victime chez DigitalMint tout en étant impliqué dans les attaques. Les deux accusés ont reçu au moins 1,2 million de dollars en Bitcoin d une seule victime. Ils risquent chacun jusqu à 20 ans de prison, avec un verdict attendu prochainement selon le DOJ.

Impact et exposition

Cette affaire met en lumière un risque systémique pour l ensemble du secteur de la cybersécurité. Les professionnels de la réponse à incidents et de la négociation ransomware disposent par nature d accès privilégiés aux systèmes de leurs clients, à leurs données sensibles et à la connaissance intime de leurs faiblesses défensives. Lorsque ces mêmes individus opèrent pour le camp adverse, les dégâts sont démultipliés : ils connaissent les angles morts, les délais de détection et les seuils de tolérance des victimes.

Recommandations

  • Renforcer les vérifications d antécédents (background checks) pour tous les prestataires ayant accès à des systèmes critiques ou à des données de réponse à incidents
  • Appliquer le principe du moindre privilège aux consultants externes : accès limité dans le temps, journalisé et révocable
  • Mettre en place une séparation des rôles pour la négociation ransomware : le prestataire qui négocie ne doit pas avoir accès aux systèmes internes
  • Surveiller les activités anormales des comptes à privilèges, y compris ceux des équipes de sécurité elles-mêmes

Comment se protéger contre les menaces internes dans les équipes de cybersécurité ?

La clé est la compartimentation : aucun individu ne devrait avoir une vision complète de toutes les défenses et vulnérabilités d une organisation. Combinez des vérifications d antécédents régulières, une journalisation exhaustive des accès privilégiés, des audits croisés par des tiers indépendants et une culture de la transparence où les comportements inhabituels sont signalés sans crainte de représailles.

Le ransomware BlackCat/ALPHV est-il toujours actif malgré les arrestations ?

Le groupe BlackCat/ALPHV a officiellement cessé ses opérations début 2024 après une opération du FBI et un exit scam présumé. Cependant, ses anciens affiliés ont migré vers d autres programmes RaaS (Ransomware-as-a-Service). L arrestation de ces deux individus concerne des faits antérieurs à la dissolution du groupe, mais illustre la persistance des réseaux criminels sous-jacents.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu elles ne soient exploitées.

Demander un audit