Un rançongiciel marque la fin de 2018 en fanfare

Les mineurs de crypto-deniers ont peut-être volé la vedette aux ransomwares l’an passé. Mais ces derniers n’ont pas disparu pour autant, loin s’en faut. La menace qu’ils représentent n’a rien d’anecdotique. Pour s’en convaincre, il suffit peut-être d’un exemple : celui du groupe d’édition Tribune Publishing, aux Etats-Unis. Le Los Angeles Times explique ainsi que le système d’information du groupe a été touché par un maliciel ce 27 décembre : « de nombreux journaux dans tout le pays ont été affectés parce qu’ils partagent la même plateforme de production ». Ce qui a été considéré initialement comme une panne de serveur, s’est avéré être une contamination par un ransomware proche de celui connu comme Ryuk.

Les chercheurs de Check Point se sont penchés sur Ryuk dans le courant de l’été dernier. Dans un billet de blog, ils indiquaient alors que ce rançongiciel était utilisé dans le cadre d’une campagne « ayant visé plusieurs entreprises, chiffrant des centaines de PC, de systèmes de stockages et de centres de calcul dans chaque entreprise infectée ». Les opérateurs de la campagne auraient rapidement réussi à collecter plus de 640 000 $.

Dans leur billet, les chercheurs de l’équipementier évoquaient un lien entre Ryuk et le ransomware Hermes, « communément attribué au groupe nord-coréen Lazarus », lui aussi utilisé « dans des attaques massivement ciblées ». Mais cela suffit-il à voir la main de Pyongyang derrière l’épisode qui vient d’affecter plusieurs publications américaines ? Pour Forbes, notamment, le doute n’est pas permis et l’affaire est entendue. Mais cet avis ne manque pas d’être discuté.

Le New York Times souligne ainsi, par exemple, l'estimation de CrowdStrike pour qui les opérateurs de Ryuk sont plutôt à chercher en Europe de l’Est.
Et qu’entend-on par ciblé ? Que la victime est choisie. Ce qui n’éclaire pas nécessairement sur les raisons de ce choix. La propension de la cible à payer la rançon peut être la motivation principale, au-delà de tout autre objectif. Lesley Canhart, spécialiste de l’investigation chez Dragos, ne manque pas de le souligner.

“Targeted” is becoming such a vague key operator in coverage and legal/ political discussions about cyberattacks. Orgs use it when an adversary spends months building persistence to exfiltrate data, or launch ICS payload, but also “you know who has bad hygiene and would pay out?”

— Lesley Carhart (@hacks4pancakes) December 30, 2018

Kevin Beaumont affiche la même prudence, relevant pour sa part que la Corée du Nord compte « des groupes de personnes à qui il est demandé de gagner de l’argent au profit de l’état », mais que « cela ne signifie pas que les cibles sont choisies par l’état ».

Robert M. Lee, fondateur et patron de Dragos, rappelle de son côté que, pour le moment, l’implication de Ryuk n’a pas été confirmée. Mais surtout, il explique avec force détails que l’attribution « n’est pas une propriété transitive ». Tout d’abord, il rappelle le biais induit par la collecte d’indices : « nous ne pouvons pas connaître la véritable étendue de tout ce qui peut être collecté ». Surtout, le groupe Lazarus n’est pas une entité formellement délimitée : s’il a été un jour bien défini – ce qui reste à établir – il ne représente plus aujourd’hui qu’une « large grappe de tout ce qui peut être nord coréen, par nature, avec des liens vers différents aspects des activités connues » du groupe Lazarus tel qu’il a pu être initialement déterminé.

Dès lors, pointer du doigt le régime de Pyongyang à la moindre activité pouvant rappeler cet ensemble protéiforme appelé groupe Lazarus, apparaît plus qu’hasardeux.