Les escrocs à l’origine d’un programme d’affiliation qui a payé des cybercriminels pour installer le programme destructeur et extrêmement réussi GandCrab La souche de ransomware a annoncé le 31 mai 2019 qu’elle mettait fin au programme après avoir prétendument gagné plus de 2 milliards de dollars en paiements d’extorsion aux victimes. Ce qui suit est une plongée en profondeur pour savoir qui peut être responsable du recrutement de nouveaux membres pour aider à propager la contagion.
Comme la plupart des souches de rançongiciels, l’offre de rançongiciel en tant que service GandCrab a retenu en otage les fichiers sur les systèmes infectés à moins que et jusqu’à ce que les victimes acceptent de payer la somme demandée. Mais GandCrab a largement éclipsé le succès des programmes d’affiliation de rançongiciels concurrents en grande partie parce que ses auteurs ont travaillé assidûment pour mettre à jour le logiciel malveillant afin qu’il puisse échapper aux antivirus et autres défenses de sécurité.
Au cours des 15 mois de l’entreprise affiliée GandCrab à partir de janvier 2018, ses conservateurs ont publié cinq révisions majeures du code, chacune correspondant à de nouvelles fonctionnalités sournoises et à des corrections de bogues visant à contrecarrer les efforts des entreprises de sécurité informatique pour contrecarrer la propagation du logiciels malveillants.
« En un an, les personnes qui ont travaillé avec nous ont gagné plus de 2 milliards de dollars américains », lit-on dans le message d’adieu de l’identité éponyme de GandCrab sur le forum de la cybercriminalité. Exploit[.]dans, où le groupe a recruté nombre de ses distributeurs. « Notre nom est devenu un terme générique pour les rançongiciels clandestins. Le revenu hebdomadaire moyen du projet était égal à 2,5 millions de dollars américains.
Le message continuait :
« Nous avons nous-mêmes gagné plus de 150 millions de dollars américains en un an. Cet argent a été encaissé avec succès et investi dans divers projets juridiques, en ligne et hors ligne. Ce fut un plaisir de travailler avec vous. Mais, comme nous l’avons dit, tout a une fin. Nous prenons une retraite bien méritée. Nous sommes la preuve vivante que vous pouvez faire le mal et vous en tirer sans encombre. Nous avons prouvé qu’on peut gagner toute une vie en un an. Nous avons prouvé que vous pouvez devenir numéro un par admission générale, pas dans votre propre vanité.
Maléfique en effet, si l’on considère les dommages infligés à tant d’individus et d’entreprises touchés par GandCrab – de loin le malware le plus rapace et prédateur de 2018 et jusqu’en 2019.
L’identité GandCrab sur Exploit[.]dans des mises à jour publiées périodiquement sur le nombre de victimes et les paiements de rançon. Par exemple, fin juillet 2018, GandCrab a annoncé qu’un seul affilié du service de location de rançongiciels avait infecté 27 031 victimes au cours du seul mois précédent, recevant environ 125 000 $ en commissions.
Le mois suivant, GandCrab s’est vanté que le programme de juillet 2018 avait fait près de 425 000 victimes et extorqué plus d’un million de dollars de crypto-monnaies, dont une grande partie est allée à des affiliés qui ont contribué à propager les infections.
Entreprise de sécurité russe KasperskyLab a estimé qu’au moment où le programme a cessé ses activités, GandCrab représentait jusqu’à la moitié du marché mondial des ransomwares.
ONEIILK2
On ne sait toujours pas combien de personnes étaient actives dans l’équipe de développement du logiciel malveillant GandCrab. Mais BreachTrace a trouvé un certain nombre d’indices qui pointent vers l’identité réelle d’un homme russe qui semble avoir été chargé de recruter de nouveaux affiliés pour le programme.
En novembre 2018, un affilié de GandCrab a publié une capture d’écran sur l’Exploit[.]dans le forum sur la cybercriminalité d’un message privé entre lui-même et un membre du forum connu sous le nom de « oneiilk2 » et « oneillk2» qui montrait que ce dernier était chargé de recruter de nouveaux membres pour le programme de gains du rançongiciel.
Oneiilk2 était également un affilié réussi de GandCrab à part entière. En mai 2018, on pouvait le voir dans plusieurs Exploit[.]dans des discussions demandant une aide urgente pour accéder à des entreprises piratées en Corée du Sud. Ces sollicitations durent plusieurs semaines ce mois-là, Oneiilk2 affirmant qu’il est prêt à payer le gros prix pour les ressources demandées. Dans le même temps, Oneiilk2 peut être vu sur Exploit demander de l’aide pour trouver comment créer un leurre de malware convaincant en utilisant l’alphabet coréen.
Plus tard dans le mois, Oneiilk2 dit qu’il n’a plus besoin d’aide pour cette demande. Quelques semaines plus tard, les entreprises de sécurité ont commencé à avertir que les attaquants organisaient une campagne de spam pour cibler Entreprises sud-coréennes avec la version 4.3 de GandCrab.
HOTTABYCH
Lorsque Oneiilk2 s’est enregistré sur Exploit en janvier 2015, il a utilisé l’adresse e-mail [email protected]. Cette adresse e-mail et ce surnom étaient utilisés depuis 2009 pour enregistrer plusieurs identités sur plus d’une demi-douzaine de forums sur la cybercriminalité.
En 2010, l’adresse hottabych_k2 a été utilisée pour enregistrer le nom de domaine dedserver[.]ru, un site qui commercialisait des serveurs Web dédiés aux personnes impliquées dans divers projets de cybercriminalité. Cet enregistrement d’enregistrement de domaine comprenait le numéro de téléphone russe +7-951-7805896qui, selon la fonction de récupération du mot de passe de mail.ru, est bien le numéro de téléphone utilisé pour enregistrer le compte de messagerie hottabych_k2.
Au moins quatre messages publiés en 2010 sur le service d’examen de l’hébergement makeserver.ru font de la publicité pour Dedserver et incluent des images filigranées avec le surnom « oneillk2 ».
Dedserver a également fortement promu un service de réseau privé virtuel (VPN) appelé service vpn[.]nous pour aider les utilisateurs à masquer leurs véritables emplacements en ligne. On ne sait pas à quel point ces entreprises étaient étroitement liées, bien qu’une copie en cache de la page d’accueil de Dedserver sur Archive.org à partir de 2010 suggère que les propriétaires du site l’ont revendiquée comme la leur.
Service VPN[.]nous a été enregistré à l’adresse e-mail [email protected] par un individu qui a utilisé le surnom (et parfois le mot de passe) — « Métall2” – sur plusieurs forums de cybercriminalité.
À peu près au même moment où le programme d’affiliation GandCrab passait à la vitesse supérieure, Oneiilk2 était devenu l’un des membres les plus fiables d’Exploit et de plusieurs autres forums. Cela était évident en mesurant le total des « points de réputation » qui lui ont été attribués, qui sont des commentaires positifs ou négatifs attribués par d’autres membres avec lesquels le membre a déjà effectué des transactions.
Fin 2018, Oneiilk2 était l’un des 20 membres les mieux notés parmi des milliers d’habitants du forum Exploit, en grande partie grâce à son association avec l’entreprise GandCrab.
La recherche sur l’adresse e-mail d’enregistrement d’Oneiilk2 [email protected] via des sites qui suivent les bases de données piratées ou divulguées a donné des résultats curieux. Ces enregistrements montrent que cette personne a régulièrement réutilisé le même mot de passe sur plusieurs comptes : 16061991.
Par exemple, cette adresse e-mail et ce mot de passe apparaissent dans les bases de données de mots de passe piratés pour un compte « oneillk2 » sur zisme[.]affairesun forum en langue russe dédié aux actualités sur divers programmes d’affiliation lucratives en ligne.
Dans un article publié sur Zismo en 2017, Oneiilk2 déclare qu’il vit dans une petite ville d’environ 400 000 habitants et qu’il est engagé dans la fabrication de meubles.
MÉTAL LOURD
Des recherches plus approfondies ont révélé que l’adresse [email protected] avait également été utilisée pour enregistrer au moins deux comptes sur le site de réseautage social. Vkontaktel’équivalent russe de Facebook.
L’un de ces comptes était enregistré au nom d’un « Igor Kashkov » de Magnitogorsk, Russieune ville industrielle riche en métaux du sud de la Russie d’environ 410 000 habitants qui abrite la plus grande usine sidérurgique du pays.
Le compte Kashkov a utilisé le mot de passe « hottabychk2 », le numéro de téléphone 890808981338et à un moment donné fourni l’adresse e-mail alternative « [email protected].” Cependant, cela semble avoir été simplement un compte abandonné, ou du moins il n’y a que quelques rares mises à jour du profil.
le compte Vkontakte plus intéressant lié à l’adresse [email protected] appartient à un profil sous le nom « Igor Prokopenko», qui dit vivre également à Magnitogorsk. Le profil d’Igor Prokopenko indique qu’il a étudié et s’intéresse à divers types de métallurgie.
Il existe également un compte Skype voix sur IP lié à un « Igor » de Magnitogorsk dont l’anniversaire est le 16 juin 1991. De plus, il existe un compte Youtube assez actif datant de 2015 – youtube.com/user/Oneillk2 — qui appartient à un certain Igor Prokopenko de Magnitogorsk.
Ce compte Youtube comprend principalement de courtes vidéos de M. Prokopenko pêchant du poisson dans une rivière locale et diagnostiquant des problèmes avec son Lada Kalina – une ligne automobile de fabrication russe assez courante dans toute la Russie. Un compte créé en janvier 2018 sous le pseudo Oneillk2 sur un forum pour les passionnés de Lada dit que son propriétaire a 28 ans et vit à Magnitogorsk.
Des sources ayant la capacité de vérifier les dossiers de citoyenneté russe ont identifié un Igor Vladimirovitch Prokopenko de Magnitogorsk, né le 16 juin 1991. Rappelons que « 16061991 » était le mot de passe utilisé par d’innombrables comptes en ligne liés à la fois à [email protected] et aux identités Oneiilk2/Oneillk2.
Pour boucler la boucle de toutes les recherches ci-dessus, la page de réinitialisation du mot de passe de Vkontakte montre que le profil d’Igor Prokopenko est lié au numéro de téléphone mobile +7-951-7805896qui est le même numéro que celui utilisé pour configurer le compte de messagerie [email protected] il y a presque 10 ans.
M. Prokopenko n’a pas répondu aux multiples demandes de commentaires.
Il est tout à fait possible que celui qui est responsable du fonctionnement du programme d’affiliation GandCrab ait développé une campagne de désinformation élaborée de plusieurs années pour conduire les futurs chercheurs potentiels à une partie innocente.
Dans le même temps, il n’est pas rare que de nombreux malfaiteurs russes fassent peu pour cacher leur véritable identité – du moins au début de leur carrière – peut-être en partie parce qu’ils perçoivent qu’il est peu probable que quelqu’un se donne la peine de relier les points plus tard. , ou parce qu’ils ne craignent peut-être pas d’être arrêtés et/ou poursuivis pendant qu’ils résident en Russie. Quiconque douterait de cette dynamique ferait bien de consulter la série Breadcrumbs sur ce blog, qui a utilisé des méthodes similaires à celles décrites ci-dessus pour démasquer des dizaines d’autres principaux fournisseurs de logiciels malveillants.
Il convient de noter que le programme d’affiliation GandCrab a pris des mesures pour empêcher l’installation de son logiciel de rançon sur des ordinateurs résidant en Russie ou dans l’un des pays qui faisaient auparavant partie de l’Union soviétique — appelée la Communauté des États indépendants et comprenant l’Arménie, Biélorussie, Kazakhstan, Kirghizistan, Moldavie, Russie, Tadjikistan, Turkménistan, Ukraine et Ouzbékistan. Il s’agit d’une précaution typique prise par les cybercriminels exécutant des opérations de logiciels malveillants depuis l’un de ces pays, car ils essaient d’éviter de créer des problèmes dans leur propre arrière-cour qui pourraient attirer l’attention des forces de l’ordre locales.
BreachTrace tient à remercier domaintools.com (un annonceur sur ce site), ainsi que des sociétés de cyber intelligence Intel471, Garder la sécurité et 4IQ pour leur aide dans la recherche de ce post.
Mise à jour, 9 juillet, 14 h 53 HE : M. Prokopenko a répondu à mes demandes de commentaires, bien qu’il ait refusé de répondre à toutes les questions que je lui ai posées au sujet des conclusions ci-dessus. Sa réponse a été simplement : « Hé. Vous vous trompez. Je ne fais pas ça. Que je suis bête.