FBI

Le FBI a annoncé lundi qu’il avait saisi les serveurs et les sites Web de l’opération de ransomware Radar/Dépossesseur à la suite d’une enquête internationale conjointe.

L’opération conjointe a été menée en collaboration avec l’Agence nationale de la criminalité du Royaume-Uni, le Parquet de Bamberg et l’Office de la Police criminelle de l’État de Bavière (BLKA).

Les forces de l’ordre ont saisi trois serveurs américains, trois serveurs britanniques, 18 serveurs allemands, huit domaines basés aux États-Unis et un domaine basé en Allemagne, dont radar[.]tld, dépossesseur[.] com, actualités cybernétiques[.] com (site de fausses nouvelles), cybertube[.] vidéo (faux site vidéo), et dépossesseur-cloud[.] com.

Depuis août 2023, Dépossesseur-dirigé par un acteur de la menace connu sous le nom de Brain—a ciblé des petites et moyennes entreprises dans divers secteurs à travers le monde, revendiquant des attaques contre des dizaines d’entreprises (le FBI a identifié 43 victimes) des États-Unis, d’Argentine, d’Australie, de Belgique, du Brésil, du Honduras, d’Inde, du Canada, de Croatie, du Pérou, de Pologne, du Royaume-Uni, des Émirats arabes Unis et d’Allemagne.

Le FBI affirme que le gang de ransomwares viole les réseaux par des vulnérabilités, des mots de passe faibles et l’absence d’authentification multifacteur configurée sur les comptes. Après avoir accédé au réseau de la victime, ils volent des données et déploient le ransomware pour crypter les appareils de l’entreprise.

« Une fois que les criminels ont eu accès aux systèmes, ils ont obtenu des droits d’administrateur et ont facilement eu accès aux fichiers. Le ransomware réel a ensuite été utilisé pour le cryptage. En conséquence, les entreprises ne pouvaient plus accéder à leurs propres données », a déclaré le FBI dans un communiqué de presse partagé avec Breachtrace.

« Une fois que l’entreprise a été attaquée, si elle n’a pas contacté l’acteur criminel, le groupe contacterait alors de manière proactive les autres membres de l’entreprise victime par e-mail ou par téléphone. Les courriels comprenaient également des liens vers des plateformes vidéo sur lesquelles les fichiers précédemment volés avaient été présentés. »

Note de rançon du dépossesseur

Le FBI a également demandé aux anciennes victimes ou aux personnes ciblées de partager des informations sur le gang des dépossesseurs en contactant le Centre de plainte contre la criminalité sur Internet à ic3.gov ou 1-800 – APPELEZ LE FBI.

Lorsque le groupe de cybercriminalité s’est initialement lancé, il a agi en tant que groupe d’extorsion, republiant d’anciennes données volées lors d’attaques de ransomware LockBit, dont il prétendait être affilié. Dépossesseur a également republié les fuites d’autres opérations de ransomware et tenté de les vendre sur divers marchés de violation et forums de piratage comme BreachForums et XSS.

« Dépossesseur a initialement annoncé la disponibilité renouvelée des données de quelque 330 victimes de LockBit. Cela a été prétendu être des données republiées de victimes de LockBit précédemment disponibles, maintenant hébergées sur le réseau de Dépossesseur et donc non soumises aux restrictions de disponibilité de LockBit », a déclaré SentinelOne dans un rapport d’avril.

« Dépossesseur semble republier des données précédemment associées à d’autres opérations avec des exemples allant de Cl0p, Hunters International et 8base. Nous sommes au courant d’au moins une douzaine de victimes répertoriées sur Dispossessor qui ont également été précédemment répertoriées par d’autres groupes. »

À partir de juin 2024, les auteurs de la menace ont commencé à utiliser le crypteur LockBit 3.0 divulgué [VirusTotal] pour leurs propres attaques de cryptage, augmentant considérablement la portée de leurs attaques.

Au cours de l’année écoulée, les opérations d’application de la loi ont ciblé de nombreuses autres activités de cybercriminalité, notamment les escroqueries par crypto-monnaie, le développement de logiciels malveillants, les attaques de phishing, le vol d’informations d’identification et les opérations de ransomware.

Par exemple, ils ont utilisé des tactiques de piratage pour infiltrer, perturber et démanteler ALPHV / Blackcat ransomware, un groupe de ransomwares déployant LockerGoga, MegaCortex, HIVE et Dharma, l’opération de ransomware Ragnar Locker et Hive ransomware.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *