Aujourd’hui, presque quotidiennement, il y a des nouvelles sur les failles des logiciels commerciaux qui conduisent à des ordinateurs piratés et semés de logiciels malveillants. Mais la réalité est que la plupart des logiciels malveillants ont aussi leur part de failles de sécurité qui ouvrent la porte aux chercheurs en sécurité ou aux vauriens pour libérer ou prendre le contrôle de systèmes déjà piratés. Voici un aperçu d’un service de test de vulnérabilité des logiciels malveillants de longue durée qui est utilisé et exécuté par certains des principaux cybercriminels du Dark Web.
Il n’est pas rare que les escrocs qui vendent des offres de logiciels malveillants en tant que service tels que des programmes de cheval de Troie et des panneaux de contrôle de botnet incluent des portes dérobées dans leurs produits qui leur permettent de surveiller subrepticement les opérations de leurs clients et de siphonner les données volées aux victimes. Plus généralement, cependant, les personnes qui écrivent des logiciels malveillants commettent simplement des erreurs de codage qui rendent leurs créations vulnérables à la compromission.
Dans le même temps, les sociétés de sécurité parcourent constamment le code malveillant à la recherche de vulnérabilités qui pourraient leur permettre de pénétrer à l’intérieur des opérations des réseaux criminels ou d’arracher le contrôle de ces opérations aux méchants. Il n’y a pas beaucoup d’exemples publics de cette activité anti-malware, en partie parce qu’elle patauge dans des eaux légalement troubles. Plus important encore, parler publiquement de ces défauts tend à être le moyen le plus rapide d’amener les auteurs de logiciels malveillants à corriger les vulnérabilités dans leur code.
Entrez dans les services de test de logiciels malveillants comme celui exploité par « Ours Rouge», l’administrateur d’un site de sécurité en langue russe appelé Krober[.]affairesqui blogue fréquemment sur les failles de sécurité des logiciels malveillants populaires.
Pour la plupart, les vulnérabilités détaillées par Krober ne sont pas décrites tant qu’elles ne sont pas corrigées par l’auteur du logiciel malveillant, qui a payé une somme modique à l’avance pour une révision du code qui promet de démasquer toute porte dérobée et/ou de renforcer la sécurité du client. produit.
Profil de RedBear sur le xss en russe[.]est un forum sur la cybercriminalité.
Le service de RedBear est commercialisé non seulement auprès des créateurs de logiciels malveillants, mais également auprès des personnes qui louent ou achètent des logiciels et des services malveillants auprès d’autres cybercriminels. L’un des principaux arguments de vente de ce service est que, les escrocs étant des escrocs, vous ne pouvez tout simplement pas leur faire confiance pour être complètement honnêtes.
« Nous pouvons examiner votre (ou pas exactement votre) code PHP pour les vulnérabilités et les portes dérobées », lit-on dans son offre sur plusieurs forums russes de premier plan sur la cybercriminalité. « Les options possibles incluent, par exemple, des panneaux d’administration de bot, des panneaux d’injection de code, des panneaux de contrôle shell, des renifleurs de cartes de paiement, des services de direction du trafic, des services d’échange, des logiciels de spam, des générateurs de porte et des pages frauduleuses, etc. »
Preuve de l’efficacité de son service, RedBear pointe près d’une dizaine d’articles sur Krober[.]biz qui expliquent en détail les failles trouvées dans les outils malveillants de haut niveau dont les auteurs ont utilisé son service dans le passé, notamment ; la Bot DDoS Black Energy panneau d’administration ; panneaux de chargement de logiciels malveillants liés au Fumée et Andromède chargeurs de robots ; la RMS et Administrateur espion chevaux de Troie ; et un script d’escroquerie de prêt populaire.
CONJOINTS DISTINCTS
RedBear n’exploite pas ce service par lui-même. Au fil des ans, il a eu plusieurs partenaires dans le projet, dont deux cybercriminels très en vue (ou peut-être un seul, comme nous le verrons dans un instant) qui, jusqu’à récemment, opéraient sous les pseudonymes de hacker « jusqu’O » et « Lebron.”
De 2013 à 2016, upO a été un acteur majeur sur Exploit[.]in – l’un des forums clandestins de cybercriminalité en langue russe les plus actifs et les plus vénérés – auteur de près de 1 500 messages sur le forum et lancement d’environ 80 fils de discussion, principalement axés sur les logiciels malveillants. Pendant environ un an à partir de 2016, Lebron a été l’un des principaux modérateurs d’Exploit.
Un des nombreux articles que Lebron a publiés sur Krober[.]biz qui a détaillé les failles trouvées dans les logiciels malveillants soumis au service de test de vulnérabilité de RedBear.
En 2016, plusieurs membres ont commencé à accuser upO d’avoir volé le code source des projets de logiciels malveillants en cours d’examen, puis d’avoir prétendument utilisé ou incorporé des morceaux de code dans des projets de logiciels malveillants qu’il a commercialisés auprès d’autres.
up0 serait finalement banni d’Exploit pour s’être disputé avec un autre contributeur majeur du forum, dans lequel les deux accusaient l’autre de travailler pour ou avec les autorités fédérales russes et/ou ukrainiennes, et procédaient à la publication d’informations personnelles sur l’autre qui auraient révélé leur véritable -identités de vie.
L’acteur du cybercrime « upO » sur Exploit[.]fin 2016, se plaignant que RedBear refusait de payer une dette qui lui était due.
Lebron est apparu pour la première fois sur Exploit en septembre 2016, environ deux mois avant que upO ne soit banni de la communauté. Après avoir passé près d’un an sur le forum tout en écrivant des centaines de messages et de discussions (y compris de nombreux articles publiés pour la première fois sur Krober), Lebron a brusquement disparu d’Exploit.
Son départ a été précédé d’une série d’accusations de plus en plus effrontées de la part des membres du forum selon lesquelles Lebron était simplement en train d’utiliser un surnom différent. Son dernier message sur Exploit en mai 2017 indiquait en plaisantant qu’il rejoignait un programme d’affiliation de ransomware parvenu.
RÊVES DE RANSOMWARE
Selon les recherches d’une société de cyber-intelligence Intel 471upO avait un fort intérêt pour les ransomwares et s’était associé au développeur du Souche de rançongiciel Cerberun programme d’affiliation opérant entre février 2016 et juillet 2017 qui cherchait à accaparer le marché de plus en plus lucratif et concurrentiel des offres de ransomware en tant que service.
Intel 471 dit qu’une rumeur a circulé sur Exploit et d’autres forums fréquentés qu’il était le cerveau derrière GandCrabun autre programme d’affiliation ransomware-as-a-service qui a fait surface pour la première fois en janvier 2018 et s’est ensuite vanté d’avoir extorqué des milliards de dollars à des entreprises piratées lors de sa fermeture en juin 2019.
Plusieurs sociétés de sécurité et chercheurs (y compris cet auteur) ont conclu que GandCrab n’a pas exactement disparu, mais a plutôt été renommé pour former une offre de ransomware en tant que service plus exclusive surnommée « REvil» (alias « Sodin » et « Sodinokibi »). REvil a été repéré pour la première fois en avril 2019 après avoir été installé par une mise à jour de GandCrab, mais son programme d’affiliation n’a pas démarré à la vitesse supérieure avant juillet 2019.
Le mois dernier, le visage public du programme d’affiliation REvil ransomware – un cybercriminel qui s’est enregistré sur Exploit en juillet 2019 en utilisant le surnom « INCONNU » (alias « Inconnu ») – s’est retrouvé la cible d’un stratagème de chantage annoncé publiquement par un autre membre du forum qui prétendait avoir aidé à financer l’activité de ransomware d’UNKN en 2016 mais qui avait pris une pause du forum en raison de problèmes avec la loi.
Cet individu, utilisant le surnom « Vivalamuerte« , a déclaré UNKN lui devait toujours son investissement initial, qui, selon lui, s’élevait à environ 190 000 dollars. Vivalamuerte a déclaré qu’il divulguerait des détails personnels révélant l’identité réelle d’UNKN à moins qu’il ne reçoive ce qu’il prétend lui être dû.
Dans ce message de chantage traduit par Google de Vivalamuerte à UNKN, l’ancien surnom de ce dernier était abrégé en « L ».
Vivalamuerte a également affirmé que UNKN avait utilisé quatre surnoms différents et que le surnom avec lequel il avait interagi en 2016 commençait par la lettre « L ». Le surnom complet de l’accusé a probablement été expurgé par les administrateurs du forum car une recherche sur le forum pour « Lebron » fait apparaître le même message même s’il n’est visible dans aucun des messages menaçants de Vivalamuerte.
Joint par BreachTrace, Vivalamuerte a refusé de partager ce qu’il savait sur UNKN, affirmant que l’affaire était toujours en arbitrage. Mais il a dit qu’il avait la preuve que Lebron était le principal codeur derrière le ransomware GandCrab, et que la personne derrière l’identité de Lebron joue un rôle central dans l’entreprise d’extorsion de ransomware REvil telle qu’elle existe aujourd’hui.