Il est rare que les gangs de cybercriminels qui déploient des rançongiciels obtiennent eux-mêmes l’accès initial à la cible. Plus généralement, cet accès est acheté auprès d’un courtier cybercriminel spécialisé dans l’acquisition d’informations d’identification d’accès à distance, telles que les noms d’utilisateur et les mots de passe nécessaires pour se connecter à distance au réseau de la cible. Dans cet article, nous examinerons les indices laissés par « Babam», le pseudonyme choisi par un cybercriminel qui a vendu cet accès à des groupes de rançongiciels à de nombreuses reprises au cours des dernières années.
Depuis début 2020, Babam a mis en place de nombreuses enchères sur le forum russophone de la cybercriminalité Exploit, vendant principalement des identifiants de réseau privé virtuel (VPN) volés à diverses entreprises. Babam a rédigé plus de 270 messages depuis qu’il a rejoint Exploit en 2015, y compris des dizaines de fils de discussion. Cependant, aucun des messages de Babam sur Exploit n’inclut d’informations personnelles ou d’indices sur son identité.
Mais en février 2016, Babam a rejoint Vérifié, un autre forum sur la criminalité en langue russe. Verified a été piraté au moins deux fois au cours des cinq dernières années et sa base de données d’utilisateurs a été publiée en ligne. Cette information montre que Babam a rejoint Verified en utilisant l’adresse e-mail « [email protected].” La dernière fuite de Verified a également révélé des messages privés échangés par des membres du forum, dont plus de 800 messages privés que Babam a envoyés ou reçus sur le forum au fil des ans.
Début 2017, Babam a confié à un autre utilisateur vérifié par message privé qu’il venait de Lituanie. Dans pratiquement tous ses messages sur le forum et ses messages privés, on peut voir Babam communiquer en russe translittéré plutôt qu’en utilisant l’alphabet cyrillique. C’est courant chez les cybercriminels dont le russe n’est pas la langue maternelle.
Plateforme de cyber intelligence Constellation Intelligence a déclaré à BreachTrace que l’adresse [email protected] avait été utilisée en 2016 pour créer un compte sur filmai.in, qui est un service de streaming de films destiné aux locuteurs lituaniens. Le nom d’utilisateur associé à ce compte était « bo3dom.”
Une recherche WHOIS inversée via DomainTools.com dit que [email protected] a été utilisé pour enregistrer deux noms de domaine : bonnjoeder[.]com en 2011, et sanjulianhotels[.]com (2017). Il n’est pas clair si ces domaines ont déjà été en ligne, mais l’adresse postale sur les deux enregistrements était « 24, rue Brondeg” au Royaume-Uni. [Full disclosure: DomainTools is a frequent advertiser on this website.]
Une recherche inversée sur DomainTools sur « 24 Brondeg St. » révèle un autre domaine : wwwecardone[.]com. L’utilisation de domaines commençant par « www » est assez courante chez les hameçonneurs, et par les sites de « typosquatting » passifs qui cherchent à siphonner les informations d’identification de sites Web légitimes lorsque les gens tapent un domaine de manière erronée, par exemple en omettant accidentellement le « . » après avoir tapé « www ».

Une bannière de la page d’accueil du forum sur la cybercriminalité en langue russe Vérifié.
Recherche dans DomainTools du numéro de téléphone dans les enregistrements WHOIS pour wwwecardone[.]com – +44.0774829141 – mène à une poignée de domaines de typosquatting similaires, y compris wwwebuygold[.]com et wwwpexpay[.]com. Un numéro de téléphone britannique différent dans un enregistrement plus récent pour le wwwebuygold[.]com – 44.0472882112 – est lié à deux autres domaines – comment déverrouiller l’iphone gratuitement[.]comet portailsagepay[.]com. Tous ces domaines datent d’entre 2012 et 2013.
Les enregistrements d’enregistrement d’origine pour les domaines iPhone, Sagepay et Gold partagent une adresse e-mail : [email protected]. Une recherche sur le nom d’utilisateur « bo3dom » en utilisant le service de Constella révèle un compte sur ipmart-forum.com, un forum aujourd’hui disparu consacré aux produits informatiques, tels que les appareils mobiles, les ordinateurs et les jeux en ligne. Cette recherche montre l’utilisateur bo3dom enregistré sur ipmart-forum.com avec l’adresse e-mail [email protected]et depuis une adresse Internet à Vilnius, en Lituanie.
[email protected] a été utilisé pour enregistrer plusieurs domaines, y compris wwwsuperchange.ru en 2008 (remarquez à nouveau le « www » suspect dans le nom de domaine). La fonction de récupération de mot de passe de Gmail indique que l’adresse e-mail de sauvegarde pour [email protected] est bo3*******@gmail.com. Gmail accepte l’adresse [email protected] comme e-mail de récupération pour ce compte devrian27.
Selon Constella, l’adresse [email protected] a été exposée à de multiples violations de données au fil des ans, et dans chaque cas, elle a utilisé l’un des deux mots de passe : « lebeda1 » et « a123456“.
La recherche dans Constella de comptes utilisant ces mots de passe révèle une multitude d’adresses e-mail « bo3dom » supplémentaires, y compris [email protected]. Pivoter sur cette adresse à Constella révèle que quelqu’un avec le nom Vytautas Mockus l’a utilisé pour créer un compte sur mindjolt.com, un site proposant des dizaines de jeux de réflexion simples auxquels les visiteurs peuvent jouer en ligne.
À un moment donné, mindjolt.com a apparemment également été piraté, car une copie de sa base de données sur Constella indique que [email protected] a utilisé deux mots de passe sur ce site : lebeda1 et a123456.
Une recherche WHOIS inversée sur « Vytautas Mockus » sur DomainTools affiche l’adresse e-mail [email protected] a été utilisé en 2010 pour enregistrer le nom de domaine argent parfaite[.]co. C’est un caractère hors de argent parfaite[.]com, qui est une des premières monnaies virtuelles très populaire auprès des cybercriminels à l’époque. Le numéro de téléphone lié à cet enregistrement de domaine était « 86.7273687“.
Une recherche Google pour « Vytautas Mockus » indique qu’il y a une personne portant ce nom qui dirige une entreprise de restauration mobile en Lituanie appelée « Palvisa.” Un rapport sur Palvisa (PDF) acheté sur Rekvizitai.vz – un annuaire officiel en ligne des entreprises lituaniennes – dit Palvisa a été créé en 2011 par un Vytautaus Mockus, en utilisant le numéro de téléphone 86.7273687, et l’adresse e-mail [email protected]. Le rapport indique que Palvisa est active, mais n’a eu aucun autre employé que son fondateur.
Joint via l’adresse [email protected], M. Mockus, 36 ans, a exprimé sa perplexité quant à la façon dont ses informations personnelles se sont retrouvées dans tant de dossiers. « Je ne suis impliqué dans aucun crime », a écrit Mockus en réponse.

Une carte mentale approximative des connexions mentionnées dans cette histoire.
Les domaines apparemment enregistrés par Babam pendant près de 10 ans suggèrent qu’il a commencé principalement à voler d’autres cybercriminels. En 2015, Babam était fortement impliqué dans le « carding », la vente et l’utilisation de données de cartes de paiement volées. En 2020, il s’était presque entièrement concentré sur la vente d’accès aux entreprises.
Un profil produit par une firme de renseignements sur les menaces Point de rupture dit que Babam a reçu au moins quatre commentaires positifs sur le forum Exploiter la cybercriminalité de la part d’escrocs associés au Gang de rançongiciels LockBit.

Le collectif de rançongiciels LockBit donne à Babam des commentaires positifs pour avoir vendu l’accès à différentes organisations de victimes. Image : Point d’éclair
Selon Flashpoint, en avril 2021, Babam a annoncé la vente d’identifiants Citrix pour une entreprise internationale active dans le domaine des tests, de l’inspection et de la certification en laboratoire, et qui a plus de 5 milliards de dollars de revenus annuels et plus de 78 000 employés.
Flashpoint dit que Babam a initialement annoncé qu’il avait vendu l’accès, mais a ensuite rouvert l’enchère parce que l’acheteur potentiel s’est retiré de l’accord. Quelques jours plus tard, Babam a republié l’enchère, ajoutant plus d’informations sur la profondeur de l’accès illicite et abaissant son prix demandé. L’accès s’est vendu moins de 24 heures plus tard.
« Sur la base des statistiques fournies et des rapports de sources sensibles, les analystes de Flashpoint évaluent avec une grande confiance que l’organisation compromise était probablement Bureau Veritasune organisation dont le siège social est en France et qui opère dans divers secteurs », a conclu la société.
En novembre, Bureau Veritas a reconnu avoir fermer son réseau en réponse à une cyberattaque. La société n’a pas précisé si l’incident impliquait un ransomware et, le cas échéant, quelle souche de ransomware, mais sa réponse à l’incident est tout droit sortie du livre de jeu pour répondre aux attaques de ransomware. Bureau Veritas n’a pas encore répondu aux demandes de commentaires ; son dernière déclaration publique le 2 décembre ne fournit aucun détail supplémentaire sur la cause de l’incident.
Flashpoint note que l’utilisation par Babam du russe translittéré persiste à la fois sur Exploit et Verified jusqu’en mars 2020 environ, lorsqu’il passe à l’utilisation principalement de Cyrillc dans ses commentaires de forum et ses fils de discussion. Flashpoint a déclaré que cela pourrait être une indication qu’une autre personne a commencé à utiliser le compte Babam depuis lors, ou plus probablement que Babam n’avait qu’une compréhension ténue du russe pour commencer et que ses compétences linguistiques et sa confiance se sont améliorées avec le temps.
Donner foi à cette dernière théorie est que Babam fait toujours des erreurs linguistiques dans ses messages qui suggèrent que le russe n’est pas sa langue d’origine, a découvert Flashpoint.
« L’utilisation du double « n » dans des mots tels que « проданно » (correct – продано) et « сделанны » (correct – сделаны) par l’auteur de la menace prouve que ce style d’écriture n’est pas possible lors de l’utilisation de la traduction automatique, car cela ne serait pas être l’orthographe correcte du mot », ont écrit les analystes de Flashpoint.
« Ces types d’erreurs grammaticales se retrouvent souvent chez les personnes qui n’ont pas reçu une éducation suffisante à l’école ou si le russe est leur deuxième langue », poursuit l’analyse. « Dans de tels cas, lorsque quelqu’un essaie d’épeler un mot correctement, par accident ou sans le savoir, il exagère l’orthographe et fait ce type d’erreurs. Dans le même temps, le discours familier peut être fluide ou même natif. C’est souvent typique pour une personne qui vient des anciens États de l’Union soviétique.