Les cybercriminels derrière le GandCrab L’offre de ransomware-as-a-service (RaaS) a récemment annoncé qu’elle fermait boutique et prenait sa retraite après avoir prétendument gagné plus de 2 milliards de dollars en paiements d’extorsion de la part des victimes. Mais un nombre croissant de preuves suggèrent que l’équipe de GandCrab s’est plutôt discrètement regroupée derrière un programme de ransomware plus exclusif et avancé connu sous le nom de « REvil, » « Sodin, » et « Sodinokibi.”
« Nous prenons une retraite bien méritée », ont écrit les administrateurs de GandCrab dans leur message d’adieu le 31 mai. « Nous sommes la preuve vivante que vous pouvez faire le mal et vous en tirer sans encombre. »
Cependant, il semble maintenant que l’équipe de GandCrab avait déjà commencé les préparatifs pour changer de marque sous une offre de ransomware en tant que service beaucoup plus privée des mois avant leur « retraite » officielle.
Fin avril, des chercheurs de Cisco Talos a repéré une nouvelle souche de ransomware appelée Sodinokibi qui a été utilisé pour déployer GandCrab, qui crypte les fichiers sur les systèmes infectés jusqu’à ce que la victime paie la somme demandée. Un mois plus tard, GandCrab annoncerait sa fermeture.
Une page de paiement pour une victime de REvil, alias Sodin et Sodinokibi.
Pendant ce temps, dans la première quinzaine de mai, un individu utilisant le surnom « Inconnu” a commencé à effectuer des dépôts totalisant plus de 130 000 USD en devises virtuelles sur deux des principaux forums de cybercriminalité. Les acomptes visaient à démontrer que l’acteur était sérieux dans son offre d’embaucher une poignée d’affiliés pour piloter une nouvelle offre de rançongiciel en tant que service, encore sans nom.
« Nous n’allons pas embaucher autant de personnes que possible », a déclaré Unknown aux membres du forum en annonçant le nouveau programme RaaS. « Cinq affiliés supplémentaires peuvent rejoindre le programme, puis nous passerons sous le radar. Chaque affilié est garanti 10 000 USD. Votre réduction est de 60 % au début et de 70 % après les trois premiers versements. Cinq affiliés sont garantis [USD] 50 000 au total. Nous travaillons depuis plusieurs années, plus précisément cinq ans dans ce domaine. Nous sommes intéressés par les professionnels.
Interrogé par les membres du forum sur le nom du service de ransomware, Unknown a déclaré qu’il avait été mentionné dans les médias mais qu’il ne divulguerait pas les détails techniques du programme ou son nom pour le moment.
Unknown a déclaré qu’il était interdit d’installer la nouvelle souche de ransomware sur tous les ordinateurs de la Communauté des États indépendants (CEI), qui comprend l’Arménie, la Biélorussie, le Kazakhstan, le Kirghizistan, la Moldavie, la Russie, le Tadjikistan, le Turkménistan, l’Ukraine et l’Ouzbékistan.
L’interdiction de diffuser des logiciels malveillants dans les pays de la CEI est depuis longtemps un élément de base de divers programmes d’affiliation payants qui sont exploités par des escrocs résidant dans ces pays. L’idée ici n’est pas d’attirer l’attention des forces de l’ordre locales qui répondent aux plaintes des victimes (et/ou peut-être de rester à l’écart des autorités fiscales et des extorqueurs dans leur ville natale).
Mais KasperskyLab a découvert que Sodinokobi/REvil inclut également une autre nation sur sa liste de pays que les affiliés doivent éviter d’infecter : la Syrie. Fait intéressant, les dernières versions de GandCrab ont pris la même mesure inhabituelle.
Quelle est la signification de la connexion avec la Syrie ? En octobre 2018, un Syrien tweeté qu’il avait perdu l’accès à toutes les photos de ses enfants décédés après que son ordinateur ait été infecté par GandCrab.
« Ils veulent 600 dollars pour me rendre mes enfants, c’est ce qu’ils ont fait, ils m’ont pris mes garçons pour de l’argent sale », a écrit la victime. « Comment puis-je leur payer 600 dollars si j’ai à peine assez d’argent pour mettre de la nourriture sur la table pour moi et ma femme ? »
Cet appel sincère a apparemment touché une corde sensible chez le ou les développeurs de GandCrab, qui ont publié peu de temps après une clé de déchiffrement permettant à toutes les victimes de GandCrab en Syrie de déverrouiller leurs fichiers gratuitement.
Mais cette rare démonstration de pitié a probablement coûté un joli centime aux administrateurs de GandCrab et à ses affiliés. C’est parce qu’une semaine après que GandCrab a publié les clés de décryptage pour toutes les victimes en Syrie, le Projet No More Ransom a publié un outil de décryptage GandCrab gratuit développé par la police roumaine en collaboration avec les forces de l’ordre d’un certain nombre de pays et une entreprise de sécurité Bitdefender.
Les opérateurs de GandCrab ont ensuite déclaré aux affiliés que la publication des clés de déchiffrement pour les victimes syriennes permettait de calculer l’entropie utilisée par le générateur de nombres aléatoires pour la clé principale du ransomware. Environ 24 heures après que NoMoreRansom a publié son outil gratuit, l’équipe GandCrab a envoyé une mise à jour qui l’a rendu incapable de décrypter les fichiers.
Il existe également des similitudes entre les façons dont GandCrab et REvil génèrent des URL qui sont utilisées dans le cadre du processus d’infection, selon un rapport récent de la société de sécurité néerlandaise Tesorion.
« Même si les bases de code diffèrent considérablement, les listes de chaînes utilisées pour générer les URL sont très similaires (bien que non identiques), et il existe des similitudes frappantes dans le fonctionnement de cette partie spécifique du code, par exemple, dans le quelque peu manière farfelue que la longueur aléatoire du nom de fichier est recalculée à plusieurs reprises », a observé Tesorion.
Je suppose que l’équipe GandCrab n’a pas pris sa retraite et s’est simplement regroupée et renommée en raison de l’attention considérable des chercheurs en sécurité et des enquêteurs des forces de l’ordre. Il semble hautement improbable qu’un groupe de cybercriminels aussi prospère quitte une entreprise aussi incroyablement rentable.