Dans un grand nombre d’attaques de rançongiciels, les criminels qui pillent le réseau de la victime ne sont pas les mêmes escrocs qui ont obtenu l’accès initial à l’organisation victime. Le plus souvent, le PC infecté ou les identifiants VPN volés que le gang utilisait pour s’introduire par effraction ont été achetés auprès d’un intermédiaire cybercriminel connu sous le nom de courtier d’accès initial. Ce billet examine certains des indices laissés par «Wazawaka», le pseudo hacker choisi par un important courtier d’accès de la scène cybercriminelle russophone.
Wazawaka a été un membre très actif de plusieurs forums sur la cybercriminalité au cours de la dernière décennie, mais son préféré est la communauté de langue russe Exploit. Wazawaka a passé ses débuts sur Exploit et d’autres forums à vendre des attaques par déni de service distribué (DDoS) qui pourraient mettre les sites Web hors ligne pour environ 80 USD par jour. Mais ces dernières années, Wazawaka s’est concentré sur le trafic d’accès aux organisations et aux bases de données volées à des entreprises piratées.
« Venez, volez et gagnez de l’argent! », Lit un fil lancé par Wazawaka sur Exploit en mars 2020, dans lequel il a vendu l’accès à une entreprise chinoise avec plus de 10 milliards de dollars de revenus annuels. « Montrez-leur qui est le patron. »
Selon leurs publications sur Exploit, Wazawaka a travaillé avec au moins deux programmes d’affiliation de rançongiciels différents, notamment LockBit. Wazawaka a déclaré que LockBit lui avait versé environ 500 000 $ en commissions pour les six mois précédant septembre 2020.
Wazawaka a également déclaré qu’il avait fait équipe avec Côté obscurle groupe affilié au rançongiciel responsable de la panne de six jours chez Pipeline colonial l’année dernière qui a provoqué des pénuries de carburant et des flambées de prix à l’échelle nationale. le Département d’État américain a depuis offert une récompense de 5 millions de dollars pour les informations menant à l’arrestation et à la condamnation de tout affilié de DarkSide.
Wazawaka semble avoir adopté le point de vue communautaire unique selon lequel lorsque les organisations détenues contre rançon refusent de coopérer ou de payer, toutes les données volées à la victime devraient être publiées sur les forums russes sur la cybercriminalité pour que tous puissent les piller – et non être vendues en privé au plus offrant. Dans fil après fil sur le forum du crime XSSle pseudonyme de Wazawaka « Uhodiransomwar» peut-on voir publier des liens de téléchargement vers des bases de données d’entreprises qui ont refusé de négocier au bout de cinq jours.
« Le seul et principal principe des rançongiciels est : les informations que vous volez ne doivent jamais être vendues », a écrit Uhodiransomwar en août 2020. « La communauté doit les recevoir absolument gratuitement si la rançon n’est pas payée par le côté qui ces informations sont volées.
Wazawaka n’a pas toujours été aussi amical avec les autres cybercriminels. Au cours des dix dernières années, ses coordonnées ont été utilisées pour enregistrer de nombreux domaines de phishing destinés à siphonner les informations d’identification des personnes essayant d’effectuer des transactions sur divers marchés du dark web. En 2018, Wazawaka a enregistré une multitude de domaines usurpant le domaine réel pour le Hydre marché du dark web. En 2014, Wazawaka a confié à un autre membre du forum sur la criminalité par message privé qu’il gagnait beaucoup d’argent en volant des comptes à des trafiquants de drogue sur ces marchés.
« J’avais l’habitude de voler leurs comptes QIWI avec jusqu’à 500 000 $ », se souvient Wazawaka. « Un revendeur n’irait jamais voir les flics pour leur dire qu’il vendait des choses en ligne et que quelqu’un lui avait volé son argent. »
QUI EST WAZAWAKA ?
Wazawaka a utilisé plusieurs adresses e-mail et surnoms sur plusieurs forums criminels russes, mais les données collectées par la société de cybersécurité Constellation Intelligence montrent que les alter ego de Wazawaka utilisaient toujours l’un des trois mots de passe assez uniques : 2k3x8x57, 2k3X8X57et 00virtuel.
Ces trois mots de passe ont été utilisés par une ou toutes les adresses e-mail de Wazawaka sur les forums criminels au fil des ans, y compris [email protected], [email protected], [email protected], [email protected].
Cette dernière adresse e-mail a été utilisée il y a près de dix ans pour enregistrer un Vkontakte (version russe de Facebook) compte sous le nom Mikhaïl « Mix » Matveev. Le numéro de téléphone lié à ce compte Vkontakte — 7617467845 — a été attribué par le fournisseur de téléphonie russe MégaFon à un résident de Khakassiesitué dans la partie sud-ouest de la Sibérie orientale.
DomainTools.com [an advertiser on this site] rapporte que [email protected] a été utilisé pour enregistrer trois domaines entre 2008 et 2010 : ddosis.ru, best-stalker.comet cs-arena.org. Ce dernier domaine a été initialement enregistré en 2009 pour un Mikhail P. Matveyevdans Abakan, Khakassie.
Mikhail Matveev n’est pas le nom le plus inhabituel en Russie, mais d’autres indices aident à réduire un peu les choses. Par exemple, au début de ses publications sur Exploit, Wazawaka peut être vu en train de dire aux membres qu’il peut être contacté via le compte de messagerie instantanée ICQ. 902228.
Une recherche sur Internet pour le numéro ICQ de Wazawaka fait apparaître un compte 2009 pour un Wazawaka sur un forum de discussion aujourd’hui disparu sur Kopyovo-aune ville d’environ 4 400 âmes dans la république russe de Khakassie :
LE MÉLANGE DE MIKHAIL
Toujours vers 2009, quelqu’un utilisant le surnom Wazawaka et l’adresse 902228 ICQ a commencé à publier sur les réseaux sociaux russes en essayant de convaincre les habitants de fréquenter le site Web « fureha.ru», qui a été présenté comme un autre site Web destiné aux résidents de Khakassie.
Selon l’observateur de domaine russe 1stat.rufureha.ru a été enregistré en janvier 2009 à l’adresse e-mail [email protected] et le numéro de téléphone +79617467845qui est le même nombre lié au Mikhaïl « Mix » Matveev Compte Vkontakte.
DomainTools.com indique que l’adresse [email protected] a été utilisée pour enregistrer deux domaines : l’un appelé badamania[.]ru, et un ancien site porno appelé tvporka[.]ru. Le numéro de téléphone lié à l’enregistrement de ce site porno en 2010 était 79235810401également émis par MegaFon en Khakassie.
Une recherche dans Skype car ce numéro montre qu’il était associé il y a plus de dix ans au nom d’utilisateur « matveevatanya1 ». Il a été enregistré à un maintenant âgé de 29 ans Tatayana Matveeva Deryabina, dont le profil Vkontakte indique qu’elle réside actuellement dans Krasnoïarskla plus grande ville la plus proche d’Abakan et d’Abaza.
Il semble probable que Tatayana soit un parent de Mikhail Matveev, peut-être même sa sœur. Aucun des deux n’a répondu aux demandes de commentaires. En 2009, un Mikhail Matveev d’Abaza, en Khakassie, a enregistré le nom d’utilisateur Wazawaka sur webblancer.net, une bourse d’emploi indépendante pour les professionnels russes de l’informatique. Le compte Webancer indique que Wazawaka a actuellement 33 ans.
En mars 2019, Wazawaka a expliqué une longue absence sur Exploit en disant qu’il avait engendré un enfant. « Je répondrai à tout le monde dans une semaine ou deux », a écrit l’acteur du crime. « Je suis devenu papa – je suis parti en vacances pendant quelques semaines. »
L’une des nombreuses adresses e-mail utilisées par Wazawaka était [email protected], qui est lié à un compte Vkontakte plus récent mais supprimé depuis pour un Mikhail Matveev et a utilisé le mot de passe 2k3X8X57. Comme d’habitude, j’ai créé une carte mentale montrant les connexions référencées dans cette histoire :
Analystes avec une société de cyber intelligence Point de rupture disent que les publications de Wazawaka sur divers forums russes sur la criminalité montrent qu’il maîtrise de nombreuses spécialisations, notamment les opérations de botnet, les logiciels malveillants d’enregistreur de frappe, les botnets de spam, la collecte d’informations d’identification, la manipulation de Google Analytics, la vente de bases de données pour les opérations de spam et le lancement d’attaques DDoS.
Flashpoint dit qu’il est probable que Wazawaka/Mix/M1x ait partagé des identités et des comptes de cybercriminels avec plusieurs autres membres du forum, dont la plupart semblent avoir été partenaires dans son entreprise de DDoS à louer il y a dix ans. Par exemple, Flashpoint pointe vers un Antichat fil de discussion de 2009 où les membres ont déclaré que M1x travaillait sur son service DDoS avec un pirate informatique du surnom de « Vedd », qui était réputé également résident d’Abakan.
RESTEZ VRAI ET LA MÈRE RUSSIE VOUS AIDERA
Tout cela est théorique, bien sûr, à condition que M. Wazawaka choisisse de a) ne jamais quitter la Russie et b) d’éviter les activités de cybercriminalité qui ciblent les citoyens russes. Dans un fil de discussion de janvier 2021 sur Exploit concernant l’arrestation d’un affilié du programme de rançongiciel NetWalker et sa disparition ultérieure, Wazawaka semble déjà avoir démissionné de ces limitations.
« Ne chiez pas là où vous vivez, voyagez localement et n’allez pas à l’étranger », a déclaré Wazawaka à propos de son mantra personnel.
Ce qui pourrait expliquer pourquoi Wazawaka est si indifférent à cacher et à protéger ses identités cybercriminelles : Incroyablement, l’alter ego de Wazawaka sur le forum XSS — Uhodiransomware — utilise toujours le même mot de passe sur le forum qu’il a utilisé pour son compte Vkontakte il y a 10 ans. Heureusement pour lui, XSS exige également un code à usage unique de son application d’authentification mobile.
Wazawaka a déclaré que la fermeture de NetWalker était le résultat de la cupidité de son administrateur (alias « Bugatti »), puis il a continué à prêcher sur la nécessité de renommer périodiquement son identité de cybercriminel.
« J’ai eu des affaires avec Bugatti », a déclaré Wazawaka. «Le gars est devenu trop riche et a commencé à recruter des Américains comme partenaires affiliés. Ce qui s’est passé maintenant est le résultat. Ce n’est pas grave. Je souhaite que Bugatti fasse un changement de marque et recommence depuis le début 🙂 Quant aux serveurs qui ont été saisis, ils auraient dû héberger leurs panneaux d’administration en Russie pour éviter que leurs serveurs ne soient saisis par INTERPOL, le FBI ou autre.
« Mère Russie vous aidera », a conclu Wazawaka. « Aimez votre pays et vous vous en sortirez toujours avec tout. »
Si vous avez aimé cet article, vous pouvez également apprécier Who Is the Network Access Broker « Babam » ?