En décembre 2021, des chercheurs ont découvert un nouveau ransomware-as-a-service nommé ALPHV (alias « Chat noir« ), considéré comme le premier groupe professionnel de la cybercriminalité à créer et à utiliser une souche de ransomware écrite dans le Rouiller langage de programmation. Dans cet article, nous allons explorer certains des indices laissés par un développeur qui aurait été embauché pour coder la variante du ransomware.
Image : Varonis.
Selon une analyse publié cette semaine par VaronisALPHV recrute activement des opérateurs de plusieurs organisations de rançongiciels – dont REvil, BlackMatter et DarkSide – et offre aux affiliés jusqu’à 90 % de toute rançon payée par une organisation victime.
« Le site de fuite du groupe, actif depuis début décembre 2021, a nommé plus de vingt organisations de victimes fin janvier 2022, bien que le nombre total de victimes, y compris celles qui ont payé une rançon pour éviter d’être exposées, soit probablement plus élevé », a déclaré Varonis. Jason Colline a écrit.
Une préoccupation concernant le déplacement de plus de logiciels malveillants vers Rouiller est qu’il est considéré comme un langage de programmation beaucoup plus sécurisé que C et C++, écrit Catalin Cimpanu pour L’enregistrement. Le résultat ? Les défenseurs de la sécurité recherchent constamment des faiblesses de codage dans de nombreuses souches de ransomwares, et si d’autres commencent à migrer vers Rust, il pourrait devenir plus difficile de trouver ces points faibles.
Des chercheurs de Avenir enregistré disent qu’ils pensent que l’auteur d’ALPHV/BlackCat a déjà été impliqué dans le tristement célèbre cartel de rançongiciels REvil dans une certaine mesure. Plus tôt ce mois-ci, le gouvernement russe a annoncé qu’à la demande des États-Unis, il avait arrêté 14 personnes en Russie considérées comme des opérateurs de REvil.
Pourtant, REvil continue malgré ces actions, selon Paul Robert à ReversingLabs. « Les récentes arrestations n’ont PAS entraîné de changement notable dans les détections de fichiers malveillants REvil », a écrit Roberts. « En fait, les détections de fichiers et d’autres modules logiciels associés au rançongiciel REvil ont légèrement augmenté dans la semaine qui a suivi les arrestations par le service de renseignement russe du FSB. »
Pendant ce temps, le Département d’État américain a une récompense permanente de 10 millions de dollars pour des informations menant à l’identification ou à la localisation de toute personne occupant des postes de direction clés au sein de REvil.
QUI EST BINRS ?
Une source confidentielle a récemment eu une conversation privée avec un représentant de l’assistance qui répond aux questions et demandes de renseignements sur plusieurs forums de cybercriminalité au nom d’un programme d’affiliation important et populaire de ransomware. Le représentant affilié a confirmé qu’un codeur pour ALPHV était connu sous le nom de « Binr” sur plusieurs forums en russe.
Sur le forum de la cybercriminalité RAMPE, l’utilisateur Binrs dit qu’il est un développeur Rust qui code depuis 6 ans. « Ma pile est Rust, nodejs, php, golang », a déclaré Binrs dans un article d’introduction, dans lequel ils prétendent parler couramment l’anglais. Binrs signe ensuite le courrier avec son numéro d’identification pour ToXun service de messagerie instantanée peer-to-peer.
Ce même identifiant ToX a été réclamé par un utilisateur appelé « smiseo» sur le forum russe BHF, dans lequel smiseo annonce un malware « clipper » écrit en Rust qui échange l’adresse bitcoin de l’attaquant lorsque la victime copie une adresse de crypto-monnaie dans le presse-papiers temporaire de son ordinateur.
Le surnom « YBCat” a annoncé ce même identifiant ToX sur Carder[.]Royaume-Uni, où cet utilisateur a revendiqué la propriété du compte Telegram @CookieDays, et ont déclaré qu’ils pourraient être embauchés pour développer des logiciels et des bots « de n’importe quel niveau de complexité ». YBCat vendait principalement des «installations», offrant aux clients payants la possibilité de charger simultanément des logiciels malveillants de leur choix sur des milliers d’ordinateurs piratés.
Il y a aussi un utilisateur actif nommé Binrs sur le forum du crime russe wwh-club[.]co qui dit être un codeur Rust joignable sur le compte @CookieDays Telegram.
Sur le forum russe Lolzteam, un membre avec le nom d’utilisateur «DuckerMan» utilise le compte @CookieDays Telegram dans sa signature. Dans un fil, DuckerMan fait la promotion d’un programme d’affiliation appelé CookieDays qui permet aux gens de gagner de l’argent en incitant d’autres à installer des programmes de cryptominage infectés par des logiciels malveillants. Dans un autre fil, DuckerMan vend un autre programme de détournement de presse-papiers appelé Chloe Clipper.
Le programme de gain d’argent CookieDays.
Selon une société de renseignements sur les menaces Point de rupturel’utilisateur de Telegram DuckerMan a utilisé un autre alias – Sergueï Canard. Ces comptes étaient les plus actifs sur les chaînes Telegram « Vente de comptes bancaires », « Communauté de développeurs de logiciels malveillants » et « Raidforums », un forum populaire sur la cybercriminalité en anglais.
JE SUIS DUCKERMAN
le GitHub compte pour un Sergey DuckerL’homme répertorie des dizaines de référentiels de code que cet utilisateur a publiés en ligne au fil des ans. La majorité de ces projets ont été écrits en Rust, et le reste en PHP, Golang et Nodejs – les mêmes langages de codage spécifiés par Binrs sur RAMP. Le compte Sergey DuckerMan GitHub indique également qu’il est associé au compte « DuckerMan » sur Telegram.
Profil GitHub de Sergey DuckerMan.
Sergey DuckerMan a laissé de nombreuses distinctions à d’autres programmeurs sur GitHub – 460 pour être exact. En juin 2020, par exemple, DuckerMan a attribué une étoile à une souche de rançongiciel de preuve de concept écrite en Rust.
Le profil Github de Sergey DuckerMan indique que leur compte de médias sociaux à Vkontakte (version russe de Facebook/Meta) est vk.com/duckermanit. Ce profil est réservé aux amis uniquement, mais indique qu’il appartient à un Sergueï Pechnikov à partir de Chouya, Russie.
Un regard sur le profil Duckermanit VKontakte sur Archive.org montre que jusqu’à récemment il portait un nom différent : Sergueï Kriakov. L’image de profil actuelle sur le compte Pechnikov montre un jeune homme debout à côté d’une jeune femme.
BreachTrace a contacté Pechnikov en russe translittéré via la fonction de messagerie instantanée intégrée à VKontakte.
« J’ai entendu parler d’ALPHV », a répondu Pechnikov en anglais. « Cela semble vraiment cool et je suis heureux que Rust devienne de plus en plus populaire, même dans le domaine des logiciels malveillants. Mais je n’ai aucun lien avec les rançongiciels.
J’ai commencé à expliquer les indices qui ont conduit à son compte VK, et comment un acteur cybercriminel clé dans l’espace des rançongiciels avait confirmé que Binrs était un développeur principal du rançongiciel ALPHV.
« Binrs n’est même pas un programmeur », a lancé Pechnikov. « Il/elle ne peut pas être un DuckerMan. Je suis DuckerMan.
MA: À droite. Eh bien, selon Flashpoint, l’utilisateur de Telegram DuckerMan a également utilisé l’alias Sergey Duck.
Sergueï : Oui, c’est moi.
MA : Ainsi vous pouvez voir déjà comment je suis arrivé à votre profil ?
Sergueï : Oui, vous êtes un très bon enquêteur.
MA: J’ai remarqué que ce profil était associé à un nom différent. Un ‘Sergey Kryakov.’
Sergueï : C’était mon ancien nom de famille. Mais je l’ai tellement détesté que je l’ai changé.
MA: Qu’est-ce que tu voulais dire par Binrs n’est même pas un programmeur ?
Sergueï : je n’en ai pas trouvé [of] ses comptes sur des sites comme GitHub/stack overflow. Je ne suis pas sûr, est-ce que binrs vend Rust Clipper ?
MA: Alors vous connaissez son travail ! Je suppose que malgré tout cela, vous maintenez que vous n’êtes pas impliqué dans le codage de logiciels malveillants ?
Sergueï : Eh bien, non, mais j’ai des « liens » avec ces gars-là. En parlant de Binrs, je fais également des recherches sur sa personnalité depuis octobre.
MA: Intéressant. Qu’est-ce qui vous a donné envie de faire des recherches sur sa personnalité ? Aussi, s’il vous plaît aidez-moi à comprendre ce que vous entendez par « connexions ».
Sergueï : Je pense qu’il est en fait un groupe de certaines personnes. Je lui ai écrit sur un télégramme de différents comptes, et sa façon de parler est différente. Peut-être que certains d’entre eux sont liés d’une manière ou d’une autre à ALPHV. Mais sur les forums (je n’ai vérifié que XSS et Exploit), ses façons de parler sont les mêmes.
MA: …..
Sergueï : Je ne sais pas comment expliquer cela. Au fait, binrs est maintenant vraiment silencieux, je pense qu’il fait profil bas. Eh bien, c’est tout ce que je sais.
Aucun doute qu’il l’est. J’ai aimé parler avec Sergey, mais j’ai aussi eu du mal à croire la plupart de ce qu’il a dit. De plus, j’étais ennuyé que Sergey n’ait pas exactement contesté la logique derrière les indices qui ont conduit à son compte VK. En fait, il avait déclaré à plusieurs reprises qu’il était impressionné par l’enquête.
Dans de nombreuses histoires précédentes de Breadcrumbs, il est courant à ce stade que la personne interrogée prétende qu’elle a été piégé ou piégé. Mais Sergey n’a même jamais lancé l’idée.
J’ai demandé à Sergey ce qui pourrait expliquer toutes ces connexions s’il n’était pas d’une manière ou d’une autre impliqué dans le codage de logiciels malveillants. Sa réponse, notre dernier échange, était à nouveau équivoque.
« Eh bien, tout ce que j’ai, c’est du code sur mon github », a-t-il répondu. « Il peut donc être utilisé [by] n’importe qui, mais je ne pense pas que mes projets conviennent aux malwares.
Mise à jour, 29 janvier, 16 h 26 HE : Sergey Duckerman a supprimé son compte GitHub. Pendant ce temps, l’utilisateur Binrs a été (de manière préventive ?) bannissant leur profil de plusieurs forums de cybercriminalité où ils étaient auparavant actifs.