ALPHV, commercialisé sous la marque BlackCat, est apparu fin 2021 comme le premier rançongiciel majeur écrit en Rust — un choix d’ingénierie délibéré qui compliquait l’ingénierie inverse, permettait des binaires multi-plateformes (Windows, Linux, ESXi) et donnait au chiffreur une fiabilité inhabituellement élevée parmi les offres RaaS.
L’opération est largement considérée comme une rebranding de DarkSide / BlackMatter, partageant pools d’affiliés et infrastructure avec les deux. Comme LockBit, ALPHV opérait en RaaS, mais son site de fuite a introduit une innovation : il était recherchable et SEO-optimisé, permettant aux affiliés et aux journalistes de pivoter d’une victime vers ses partenaires commerciaux — une accélération de la pression publique que l’industrie n’avait pas produite auparavant.
L’exit-scam Change Healthcare
En février 2024, des affiliés ALPHV ont compromis Change Healthcare (voir page incident) et paralysé le traitement des ordonnances aux États-Unis pendant des semaines. Un paiement d’environ 22 millions de dollars en bitcoin a été tracé vers une adresse contrôlée par ALPHV le 3 mars 2024.
Quelques jours plus tard, les opérateurs centraux d’ALPHV ont arnaqué leur propre affilié, conservant le paiement sans verser la part due. L’affilié a répondu en publiant les données volées et en lançant une seconde extorsion sous la marque RansomHub. La marque ALPHV s’est effectivement dissoute.
Pourquoi c’est important
L’implémentation Rust d’ALPHV, son chiffrement intermittent (chiffrer seulement des morceaux de fichiers pour accélérer l’attaque) et son site de fuite recherchable ont relevé la barre technique de tout le marché RaaS. L’exit-scam de 2024 a aussi exposé la fragilité de la confiance dans les écosystèmes criminels — quand un opérateur central brûle ses propres affiliés, le modèle de franchise s’effondre. Nombre d’affiliés ALPHV ont migré vers RansomHub (qui a hérité du modèle de site recherchable), Akira et le redémarrage de BlackBasta.