[ad_1]

le FBI confirmé cette semaine qu’un groupe de rançongiciels relativement nouveau connu sous le nom de Côté obscur est responsable d’une attaque qui a causé Pipeline colonial fermer 5 550 milles de conduites, bloquant d’innombrables barils d’essence, de diesel et de carburéacteur sur la côte du Golfe. Voici un aperçu plus approfondi du gang de cybercriminalité DarkSide, tel qu’il ressort de leurs négociations avec une récente victime américaine qui gagne 15 milliards de dollars de revenus annuels.

Colonial Pipeline a fermé 5 500 miles de conduites de carburant en réponse à un incident de ransomware. Image: colpipe.com

Entreprise de cyber-intelligence basée à New York Point de rupture a déclaré que ses analystes évaluaient avec un degré de confiance modéré à fort que l’attaque n’était pas destinée à endommager les infrastructures nationales et était simplement associée à une cible qui disposait des fonds nécessaires pour supporter un paiement important.

« Cela serait cohérent avec les activités antérieures de DarkSide, qui comprenaient plusieurs attaques de » chasse au gros gibier « , par lesquelles les attaquants ciblent une organisation qui possède probablement les moyens financiers de payer la rançon exigée par les attaquants », a observé Flashpoint.

En réponse à l’attention du public sur l’attaque du Colonial Pipeline, le groupe DarkSide a cherché à minimiser les craintes concernant les attaques généralisées contre les infrastructures à l’avenir.

« Nous sommes apolitiques, nous ne participons pas à la géopolitique, n’avons pas besoin de nous lier à un gouvernement défini et de chercher d’autres motivations [sic]», lit une mise à jour du blog DarkSide Leaks. « Notre objectif est de gagner de l’argent, et non de créer des problèmes pour la société. À partir d’aujourd’hui, nous introduisons la modération et vérifions chaque entreprise que nos partenaires souhaitent chiffrer pour éviter des conséquences sociales à l’avenir.

Apparu pour la première fois sur les forums de piratage en langue russe en août 2020, DarkSide est une plate-forme de ransomware en tant que service que les cybercriminels peuvent utiliser pour infecter les entreprises avec des ransomwares et mener des négociations et des paiements avec les victimes. DarkSide dit qu’il ne cible que les grandes entreprises et interdit aux affiliés de déposer des ransomwares sur des organisations de plusieurs secteurs, notamment la santé, les services funéraires, l’éducation, le secteur public et les organisations à but non lucratif.

Comme d’autres plates-formes de rançongiciels, DarkSide adhère à la meilleure pratique actuelle des méchants de double extorsion, qui consiste à exiger des sommes distinctes pour une clé numérique nécessaire pour déverrouiller tous les fichiers et serveurs, et une rançon distincte en échange d’une promesse de détruire toutes les données volées. la victime.

Lors de son lancement, DarkSide a cherché à courtiser les affiliés des programmes de rançongiciels concurrents en annonçant un site de fuite de données sur les victimes qui obtient « des visites stables et une couverture médiatique », ainsi que la possibilité de publier les données des victimes par étapes. Sous la rubrique « Pourquoi nous choisir ? » en-tête du fil de discussion du programme ransomware, l’administrateur répond :

Une publicité pour le groupe de rançongiciels DarkSide.

“Niveau de confiance élevé de nos cibles. Ils nous paient et savent qu’ils vont recevoir des outils de décryptage. Ils savent aussi que nous téléchargeons des données. Beaucoup de données. C’est pourquoi le pourcentage de nos victimes qui paient la rançon est si élevé et qu’il faut si peu de temps pour négocier.

Fin mars, DarkSide a introduit une innovation de « service d’appel » qui a été intégrée au panneau de gestion de l’affilié, qui a permis aux affiliés d’organiser des appels faisant pression sur les victimes pour qu’elles paient des rançons directement depuis le panneau de gestion.

À la mi-avril, le programme de ransomware a annoncé une nouvelle capacité pour les affiliés de lancer des attaques par déni de service distribué (DDoS) contre des cibles chaque fois qu’une pression supplémentaire est nécessaire lors des négociations de rançon.

DarkSide a également annoncé sa volonté de vendre des informations sur les victimes à venir avant que leurs informations volées ne soient publiées sur le blog de honte des victimes de DarkSide, afin que les escrocs en investissement entreprenants puissent vendre les actions de la société avant la nouvelle.

« Maintenant, notre équipe et nos partenaires chiffrent de nombreuses entreprises qui négocient sur le NASDAQ et d’autres bourses », explique DarkSide. « Si la société refuse de payer, nous sommes prêts à fournir des informations avant la publication, afin qu’il soit possible de gagner dans la réduction du prix des actions. Écrivez-nous dans ‘Contactez-nous’ et nous vous fournirons des informations détaillées.”

DarkSide a également recommencé à recruter de nouveaux affiliés le mois dernier, recherchant principalement des testeurs de pénétration du réseau qui peuvent aider à transformer un seul ordinateur compromis en une violation de données complète et un incident de ransomware.

Des extraits d’un message de recrutement de DarkSide, traduits du russe. Image : Intel 471.

« Nous avons considérablement augmenté en termes de clientèle et par rapport à d’autres projets (à en juger par l’analyse des informations accessibles au public), nous sommes donc prêts à développer notre équipe et un certain nombre de nos affiliés dans deux domaines », a expliqué DarkSide. La publicité continuait :

« Tests de pénétration du réseau. Nous recherchons une personne ou une équipe. Nous vous adapterons à l’environnement de travail et fournirons du travail. Réductions de bénéfices élevées, capacité à cibler des réseaux que vous ne pouvez pas gérer vous-même. Nouvelle expérience et revenu stable. Lorsque vous utilisez notre produit et que la rançon est payée, nous garantissons une répartition équitable des fonds. Un panel de suivi des résultats pour votre cible. Nous n’acceptons que les réseaux sur lesquels vous avez l’intention d’exécuter notre charge utile. »

DarkSide s’est montré assez impitoyable avec les entreprises victimes qui ont des poches profondes, mais elles peuvent être raisonnées. Cabinet de renseignement en cybersécurité Intel 471 a observé une négociation entre l’équipe de DarkSide et une entreprise victime américaine de 15 milliards de dollars qui a été frappée par une demande de rançon de 30 millions de dollars en janvier 2021, et dans cet incident, les efforts de la victime pour négocier un paiement inférieur ont finalement réduit la demande de rançon de près des deux tiers.

La note sur le rançongiciel DarkSide.

Le premier échange entre DarkSide et la victime impliquait le va-et-vient habituel d’établissement de la confiance, dans lequel la victime demande des assurances que les données volées seront supprimées après le paiement.

Image : Intel 471.

Lorsque la victime a contre-proposé de ne payer que 2,25 millions de dollars, DarkSide a répondu par une longue réponse dérisoire, acceptant finalement de réduire la demande de rançon à 28,7 millions de dollars.

« La minuterie [sic] en cochant et dans les 8 prochaines heures, votre prix passera à 60 millions de dollars », ont répondu les escrocs. « Donc, ce sont vos options, prenez d’abord notre offre généreuse et payez-nous 28 750 millions de dollars américains ou investissez de l’argent dans l’informatique quantique pour accélérer un processus de décryptage. »

Image : Intel 471.

La victime se plaint que les négociations n’ont pas beaucoup changé le prix, mais DarkSide a rétorqué que l’entreprise peut facilement se permettre le paiement. « Je ne pense pas », ont-ils écrit. « Vous n’êtes pas pauvres et vous n’êtes pas des enfants si vous merdiez, vous devez en subir les conséquences. »

L’entreprise victime répond un jour plus tard en disant qu’elle a obtenu l’autorisation de payer 4,75 millions de dollars et que ses bourreaux acceptent de réduire considérablement la demande à 12 millions de dollars.

Image : Intel 471.

La victime répond qu’il s’agit toujours d’un montant énorme et tente d’obtenir des assurances supplémentaires de la part du groupe de rançongiciels s’il accepte de payer les 12 millions de dollars, comme un accord pour ne plus jamais cibler l’entreprise ou donner à quiconque l’accès à son vol. Les données. La victime a également tenté d’amener les attaquants à remettre une clé de déchiffrement avant de payer la totalité de la demande de rançon.

Image : Intel 471.

Le gang criminel a répondu que ses propres règles lui interdisaient de donner une clé de déchiffrement avant que le paiement intégral ne soit effectué, mais ils acceptent le reste des conditions.

Image : Intel 471.

L’entreprise victime accepte de payer une rançon de 11 millions de dollars, et leurs extorqueurs sont d’accord et promettent de ne pas attaquer ou aider quiconque à attaquer le réseau de l’entreprise à l’avenir.

Image : Intel 471

Flashpoint évalue qu’au moins certains des criminels à l’origine de DarkSide sont issus d’une autre équipe de rançongiciels appelée « REvil », alias « Sodinokibi » (bien que Flashpoint n’évalue cette découverte qu’à une confiance « modérée »). REvil est largement considéré comme le nouveau nom de GandCrab, une offre de ransomware en tant que service qui a fermé ses portes en 2019 après s’être vanté d’avoir extorqué plus de 2 milliards de dollars.

Les experts disent que les attaques de rançongiciels continueront de croître en sophistication, en fréquence et en coût à moins que quelque chose ne soit fait pour perturber la capacité des escrocs à être payés pour de tels crimes. Selon un rapport à la fin de l’année dernière à partir de Vaisselle, le paiement moyen d’un rançongiciel au troisième trimestre 2020 était de 233 817 $, en hausse de 31 % par rapport au deuxième trimestre de l’année dernière. La société de sécurité Emsisoft a découvert que près de 2 400 gouvernements, établissements de santé et écoles basés aux États-Unis ont été victimes de ransomwares en 2020.

Le mois dernier, un groupe de poids lourds de l’industrie technologique a prêté son imprimatur à un groupe de travail qui a remis un rapport de 81 pages à l’administration Biden sur les moyens de contrecarrer l’industrie des ransomwares. Parmi de nombreuses autres recommandations, le rapport exhorte la Maison Blanche à faire de la recherche, de la frustration et de l’arrestation des escrocs de rançongiciels une priorité au sein de la communauté du renseignement américain, et à désigner le fléau actuel de l’extorsion numérique comme une menace pour la sécurité nationale.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *