[ad_1]

C’est bien quand les gangs de rançongiciels se font voler leurs bitcoins, que les serveurs de logiciels malveillants sont fermés ou qu’ils sont autrement forcés de se dissoudre. Nous nous accrochons à ces victoires occasionnelles parce que l’histoire nous dit que la plupart des collectifs de rançongiciels qui gagnent de l’argent ne disparaissent pas tant que se réinventent sous un nouveau nom, avec de nouvelles règles, cibles et armes. En effet, certains des groupes de rançongiciels les plus destructeurs et les plus coûteux en sont maintenant à leur troisième incarnation.

Une chronologie approximative des principales opérations de ransomware et de leurs liens réputés au fil du temps.

La réinvention est une compétence de survie de base dans le domaine de la cybercriminalité. L’une des astuces les plus anciennes du livre consiste à simuler sa disparition ou sa retraite et à inventer une nouvelle identité. L’un des principaux objectifs d’un tel subterfuge est de dérouter les enquêteurs ou de diriger temporairement leur attention ailleurs.

Les syndicats de cybercriminels effectuent également des actes de disparition similaires chaque fois que cela leur convient. Ces redémarrages organisationnels sont l’occasion pour les responsables de programmes de rançongiciels d’établir de nouvelles règles de base pour leurs membres, telles que les types de victimes qui ne sont pas autorisés (par exemple, les hôpitaux, les gouvernements, les infrastructures critiques) ou le montant d’une rançon qu’un affilié devrait payer. attendez-vous à amener le groupe à accéder à un nouveau réseau de victimes.

J’ai rassemblé le graphique ci-dessus pour illustrer certaines des réinventions les plus notables des gangs de rançon au cours des cinq dernières années. Ce que cela ne montre pas, c’est ce que nous savons déjà sur les cybercriminels à l’origine de bon nombre de ces groupes de ransomwares apparemment disparates, dont certains ont été des pionniers dans le domaine des ransomwares il y a près de dix ans. Nous allons explorer cela plus dans la seconde moitié de cette histoire.

L’une des refontes les plus intrigantes et les plus récentes implique Côté obscurle groupe qui a extorqué une rançon de 5 millions de dollars à Pipeline colonial plus tôt cette année, seulement pour en voir une grande partie être récupérée lors d’une opération du ministère américain de la Justice.

Après avoir reconnu que quelqu’un avait également saisi leurs serveurs Internet, DarkSide a annoncé qu’il se repliait. Mais un peu plus d’un mois plus tard, un nouveau programme d’affiliation de ransomware appelé BlackMatter ont émergé, et les experts ont rapidement déterminé BlackMatter utilisait les mêmes méthodes de cryptage uniques que DarkSide avait utilisées dans leurs attaques.

La disparition de DarkSide a à peu près coïncidé avec celle de REvil, un groupe de rançongiciels de longue date qui prétend avoir extorqué plus de 100 millions de dollars aux victimes. La dernière grande victime de REvil était Kaseya, une société basée à Miami dont les produits aident les administrateurs système à gérer de grands réseaux à distance. Cette attaque a permis à REvil de déployer des rançongiciels dans pas moins de 1 500 organisations qui utilisaient Kaseya.

REvil a exigé 70 millions de dollars pour libérer un décrypteur universel pour toutes les victimes de l’attaque de Kaseya. Quelques jours plus tard, Président Biden aurait dit russe Le président Vladimir Poutine qu’il s’attend à ce que la Russie agisse lorsque les États-Unis partagent des informations sur des Russes spécifiques impliqués dans des activités de ransomware.

Une note de rançon REvil.

On ne sait pas si cette conversation a incité des actions. Mais le blog d’humiliation des victimes de REvil disparaîtrait du dark web quatre jours plus tard.

Marquer l’arènePDG d’une société de renseignement sur les cybermenaces Intel 471a déclaré qu’il n’était pas clair si BlackMatter était l’équipe REvil opérant sous une nouvelle bannière, ou s’il s’agissait simplement de la réincarnation de DarkSide.

Mais une chose est claire, Arena a déclaré: « Nous les reverrons probablement à moins qu’ils n’aient été arrêtés. »

Probable, en effet. REvil est largement considéré comme un redémarrage de GandCrab, un gang prolifique de rançongiciels qui se vantait d’avoir extorqué plus de 2 milliards de dollars sur 12 mois avant de fermer brusquement boutique en juin 2019. « Nous sommes la preuve vivante que vous pouvez faire le mal et vous en sortir indemne, ” Gandcrab s’est vanté.

Et ne le sauriez-vous pas : des chercheurs ont trouvé GandCrab comportements clés partagés avec Cerbèreune première opération de ransomware en tant que service qui a cessé de faire de nouvelles victimes à peu près au même moment où GandCrab est entré en scène.

BON CHAGRIN

Les derniers mois ont été une période chargée pour les groupes de rançongiciels qui cherchent à changer de marque. BipOrdinateur récemment signalé que le nouveau « Douleur » Le démarrage du ransomware n’était que le dernier travail de peinture de DoppelPaymerune souche de ransomware qui partageait la majeure partie de son code avec une version antérieure de 2016 appelée BitPaymer.

Ces trois opérations de rançon proviennent d’un groupe cybercriminel prolifique connu sous le nom de TA505, « Indrik Araignée” et (peut-être le plus mémorable) Corps maléfique. Selon la société de sécurité FouleStrikeIndrik Spider a été formé en 2014 par d’anciens affiliés du réseau criminel GameOver Zeus qui se faisaient appeler en interne « The Business Club ».

Le Business Club était un célèbre gang de cybercriminalité organisé d’Europe de l’Est accusé d’avoir volé plus de 100 millions de dollars à des banques et à des entreprises du monde entier. En 2015, le FBI a offert une prime permanente de 3 millions de dollars pour des informations menant à la capture du chef du Business Club – Evgueni Mikhaïlovitch Bogatchev. Au moment où le FBI a mis sa tête à prix, le cheval de Troie Zeus de Bogachev et ses variantes ultérieures infectaient les ordinateurs depuis près d’une décennie.

L’auteur présumé du cheval de Troie ZeuS, Evgeniy Mikhaylovich Bogachev. Source : FBI

Bogachev avait une longueur d’avance sur ses collègues dans la poursuite des ransomwares. Son Gameover Zeus Botnet était une machine criminelle peer-to-peer qui a infecté entre 500 000 et un million Microsoft Windows des ordinateurs. Tout au long de 2013 et 2014, les PC infectés par Gameover ont été semés avec Cryptolockerune des premières souches de rançongiciels très copiées prétendument écrites par Bogachev lui-même.

CrowdStrike note que peu de temps après la création du groupe, Indrik Spider a développé son propre malware personnalisé connu sous le nom de Dridexqui est devenu un vecteur majeur de déploiement de logiciels malveillants qui jettent les bases d’attaques de ransomwares.

« Les premières versions de Dridex étaient primitives, mais au fil des ans, les logiciels malveillants sont devenus de plus en plus professionnels et sophistiqués », ont écrit les chercheurs de CrowdStrike. « En fait, les opérations de Dridex ont été importantes tout au long de 2015 et 2016, ce qui en fait l’une des familles de logiciels malveillants eCrime les plus répandues. »

Cette Rapport CrowdStrike date de juillet 2019. En avril 2021, les experts en sécurité de Logiciel de point de contrôle trouvé était toujours le malware le plus répandu (pour le deuxième mois consécutif). Principalement distribué via des e-mails de phishing bien conçus, tels que une campagne récente qui a usurpé QuickBooks — Dridex sert souvent de point d’ancrage initial de l’attaquant dans les attaques de ransomware à l’échelle de l’entreprise, a déclaré CheckPoint.

REBRANDING POUR ÉVITER LES SANCTIONS

Une autre famille de rançongiciels liée à Evil Corp. et au gang Dridex est GaspilléCasierqui est le dernier nom d’une souche de rançongiciel qui a changé de nom plusieurs fois depuis 2019. C’est à ce moment-là que le ministère de la Justice a mis une prime de 5 millions de dollars sur le chef d’Evil Corp., et que le ministère du Trésor Bureau de contrôle des avoirs étrangers (OFAC) a déclaré qu’il était prêt à imposer de lourdes amendes à quiconque paierait une rançon au groupe de cybercriminalité.

Maksim « Aqua » Yakubets, chef présumé d’Evil Corp. Image : FBI

Début juin 2021, des chercheurs ont découvert que le gang Dridex tentait à nouveau de se transformer dans le but d’échapper aux sanctions américaines. Le drame a commencé quand le Groupe de rançongiciels Babuk ont annoncé en mai qu’ils lançaient une nouvelle plate-forme d’extorsion de fuites de données, qui visait à attirer les groupes de rançongiciels qui n’avaient pas encore de blog où ils pouvaient publiquement faire honte aux victimes de payer en libérant progressivement les données volées.

Le 1er juin, Babuk a changé le nom de son site de fuites en charge utile[dot]bin, et a commencé à divulguer les données des victimes. Depuis lors, plusieurs experts en sécurité ont repéré ce qu’ils pensent être une autre version de WastedLocker déguisée en rançongiciel de marque payload.bin.

« On dirait qu’EvilCorp essaie de se faire passer pour Babuk cette fois, » a écrit Fabien Wosardirecteur de la technologie dans une entreprise de sécurité Emsisoft. « Alors que Babuk publie son portail de fuite PayloadBin, EvilCorp rebaptise à nouveau WastedLocker sous le nom de PayloadBin dans le but d’inciter les victimes à enfreindre les réglementations de l’OFAC. »

Les experts s’empressent de souligner que de nombreux cybercriminels impliqués dans l’activité de ransomware sont affiliés à plus d’une opération distincte de ransomware-as-a-service. De plus, il est courant qu’un grand nombre d’affiliés migrent vers des groupes de rançongiciels concurrents lorsque leur sponsor existant est soudainement fermé.

Tout ce qui précède semble suggérer que le succès de toute stratégie de lutte contre l’épidémie de ransomware dépend fortement de la capacité à perturber ou à appréhender un nombre relativement restreint de cybercriminels qui semblent porter de nombreux déguisements.

C’est peut-être pour cette raison que l’administration Biden a déclaré le mois dernier qu’il était offrant une récompense de 10 millions de dollars pour des informations qui conduisent à l’arrestation des gangs à l’origine des stratagèmes d’extorsion, et pour de nouvelles approches qui facilitent le traçage et le blocage des paiements en crypto-monnaie.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *