[ad_1]

Un certain nombre de publications en septembre ont mis en garde contre l’émergence de « Rainure», un nouveau groupe de rançongiciels qui a appelé les gangs d’extorsion concurrents à s’unir pour attaquer en ligne les intérêts du gouvernement américain. Il semble maintenant que Groove n’était qu’un gros canular conçu pour jouer avec les entreprises de sécurité et les journalistes.

« Un appel aux frères d’affaires ! lit le message du 22 octobre de Groove appelant à des attaques contre le secteur gouvernemental des États-Unis.

Groove a été annoncé pour la première fois le 22 août sur RAMPEun nouveau forum assez exclusif sur la cybercriminalité darknet en langue russe.

« GROOVE est avant tout une organisation criminelle agressive à motivation financière qui s’occupe d’espionnage industriel depuis environ deux ans », a écrit l’administrateur de RAMP « Orange » dans un message demandant aux membres du forum de participer à un concours pour la conception d’un site Web pour le nouveau groupe. « Disons clairement que nous ne faisons rien sans raison, donc en fin de compte, c’est nous qui profiterons le plus de ce concours.

Selon un rapport publié par McAfeeOrange a lancé RAMP pour faire appel aux acteurs de la menace liés aux ransomwares qui ont été évincés des principaux forums de cybercriminalité parce qu’ils étaient trop toxiques, ou aux cybercriminels qui se sont plaints d’avoir été lésés ou complètement raidis par différents programmes d’affiliation de ransomwares.

Le rapport indique que le RAMP est le produit d’un différend entre les membres du Babouk gang de rançongiciels, et que ses membres avaient probablement des liens avec un autre groupe de rançongiciels appelé BlackMatter.

« [McAfee] estime, avec une grande confiance, que le gang Groove est un ancien affilié ou un sous-groupe du gang Babuk, qui est prêt à collaborer avec d’autres parties, tant qu’il y a un gain financier pour eux », indique le rapport. « Ainsi, une affiliation avec le gang BlackMatter est probable. »

Au cours de la première semaine de septembre, Groove a publié sur son blog darknet près de 500 000 identifiants de connexion pour les clients de FortinetVPN produits, noms d’utilisateur et mots de passe qui pourraient être utilisés pour se connecter à distance à des systèmes vulnérables. Fortinet mentionné les informations d’identification ont été collectées à partir de systèmes qui n’avaient pas encore implémenté un correctif publié en mai 2019.

Certains experts en sécurité ont déclaré que la publication des noms d’utilisateur et des mots de passe Fortinet VPN visait à attirer de nouveaux affiliés vers Groove. Mais il semble plus probable que les informations d’identification aient été publiées pour attirer l’attention des chercheurs en sécurité et des journalistes.

Au cours de la semaine dernière, le blog darknet de Groove a disparu. Dans un post sur le forum russe sur la cybercriminalité XSSun cyberescroc établi utilisant le pseudo « Boriselcin” a expliqué que Groove n’était guère plus qu’un projet favori à visser avec l’industrie des médias et de la sécurité.

« Pour ceux qui ne comprennent pas ce qui se passe : j’ai créé un faux Groove Gang et je me suis nommé gang », a écrit Boriselcin. Le reste du message se lit comme suit :

« Ils l’ont mangé, j’ai largué 500 000 vieux Fortinet [access credentials] dont personne n’avait besoin et ils l’ont mangé. Je dis que je vais cibler le secteur gouvernemental américain et ils le mangent. Peu de journalistes ont réalisé que tout cela n’était qu’un spectacle, un faux et une arnaque ! Et mon respect va à ceux qui l’ont compris. Je ne sais même pas quoi faire maintenant avec ce blog avec une tonne de trafic. Peut-être le vendre ? Il ne me reste plus qu’à commencer à écrire [the article]mais je ne peux pas commencer à l’écrire sans tout vérifier.

Un examen des publications récentes de Boriselcin sur XSS indique qu’il planifie ce programme depuis plusieurs mois. Le 13 septembre, Boriselcin a posté que « plusieurs sujets mûrissent » et qu’il avait l’intention de publier un article sur la duperie des médias et des entreprises de sécurité.

« Manipulation de grandes entreprises de sécurité de l’information et des médias via un blog de rançon », a-t-il écrit. « C’est tellement drôle de lire Twitter et les nouvelles ces jours-ci 🙂 Mais le résultat est excellent jusqu’à présent. Déclencher les administrateurs des sociétés de sécurité de l’information. Nous baisons la chaîne d’approvisionnement du bureau de la sécurité de l’information.

Image : @ nokae8

Tout au long de sa courte existence, Groove n’a répertorié qu’une poignée de victimes sur son blog d’humiliation des victimes du darknet, ce qui a conduit certains à conclure que le groupe n’était pas vraiment une menace.

« Je ne prendrais pas cet appel trop au sérieux, » tweeté Les enregistrements Catalin Cimpanu en réponse aux tweets sur le cri de ralliement de Groove pour attaquer les intérêts du gouvernement américain. « Groove sont des acteurs de bas niveau avec peu de compétences. »

Normalement, lorsqu’un forum ou une entreprise cybercriminelle s’avère être un faux ou une arnaque, nous apprenons que tout cela était une opération d’infiltration menée par des enquêteurs fédéraux des États-Unis et/ou d’autres pays. Peut-être que la principale raison pour laquelle nous ne voyons pas plus d’escroqueries comme celle de Boricelcin est qu’il n’y a pas vraiment d’argent dedans.

Mais cela ne veut pas dire que son stratagème cynique ne sert pas un objectif plus large. Au cours des dernières années, nous avons vu plusieurs gangs de rançongiciels se réinventer et se rebaptiser pour échapper aux poursuites ou aux sanctions économiques. De ce point de vue, tout ce qui sème la confusion et détourne le temps et l’attention des médias et de l’industrie de la sécurité des menaces réelles est un net plus pour la communauté cybercriminelle.

Tom Hoffmannvice-président senior du renseignement chez Point de rupture, a déclaré que la moquerie des médias et des journalistes occidentaux est un élément constant de la conversation sur les forums de haut niveau sur la cybercriminalité. ”

« Il est clair que les acteurs criminels ont lu tous les communiqués de presse et les affirmations de Twitter à leur sujet », a déclaré Hoffman. «Nous savons que certains d’entre eux veulent juste infliger de la douleur à l’Occident, donc ce type de pêche à la traîne est susceptible de se poursuivre. Avec le haut niveau d’attention que celui-ci a suscité, je suppose que nous verrons bientôt d’autres imitateurs.

La société de cyber-intelligence Intel471 a déclaré que s’il était possible qu’un seul acteur ait inventé Groove comme moyen de troller les chercheurs en sécurité et les médias, ils pensent qu’il est plus probable que la tentative de l’acteur de créer son propre groupe de ransomwares n’ait pas fonctionné comme prévu.

« Il est également important de se rappeler que la véritable identité et la nature de tout gang Ransomware-as-a-Service ne sont pas toujours claires et que la composition des membres ou les affiliés de ces gangs peuvent être fluides », a écrit Intel 471. « Malgré cela et sur la base de nos recherches à partir de plusieurs sources, qui incluent, mais sans s’y limiter, des observations d’infrastructures partagées et de victimologie, nous pensons que » boriselcin « a exploité le blog Groove et le forum RAMP. Cet individu est un membre bien connu de la communauté cybercriminelle de langue russe ayant des liens avec un certain nombre de gangs de rançongiciels et a offert en août 1 000 $ à quelqu’un pour concevoir un blog de honte aux victimes de rançongiciels pour Groove. Nous sommes sceptiques quant aux affirmations de l’acteur selon lesquelles Groove était un canular élaboré depuis le début, bien que nous ne serions pas surpris de voir d’autres affirmations de l’acteur à l’avenir.

Mise à jour, 17 h 56 HE : Perspective incluse d’Intel 471.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *