Gandcrab : un départ à la retraite comme écran de fumée

Cela avait sonné comme un coup de tonnerre, dans le petit monde du rançongiciel en mode service : au printemps, les auteurs de l’un des plus présents d’entre eux, GandCrab, avaient annoncé leur départ à la retraite, revendiquant la constitution d’un confortable pactole, sur le dos de leurs victimes – ou plutôt de celles de leurs clients.

Mais selon SecureWorks, tout cela n’était qu’un écran de fumée. Les experts de son unité de recherche sur les menaces (CTU) estiment ainsi, après examen poussé de code, que le nouveau ransomware Sodinokibi – aussi connu sous le nom de Revil – « est probablement associé à GandCrab ». La CTU attribue ce dernier à un groupe qu’elle nomme Gold Garden, et Revil, à un autre, Gold Southfield. Pour les chercheurs, ces deux groupes « se recouvrent ou sont liés ». Certains évoquaient déjà la possibilité de tels liens plus tôt cet été.

Les experts de SecureWorks relèvent que Revil était initialement distribué via l’exploitation de vulnérabilités sur des déploiements Oracle Weblogic pour lesquels les correctifs disponibles n’avaient pas été appliqués ; du moins lorsque les équipes de Talos, chez Cisco, ont levé le voile dessus. Mais depuis, les vecteurs de diffusion se sont élargis, entre pourriels, services RDP vulnérables, etc. Pour les chercheurs, c’est aujourd’hui clair : ce nouvelle rançongiciel « va remplacer Gandcrab comme menace répandue ».

Sourced from a #sedinokibi / #Revil decryptor binary. Either a crafty false flag, or strong evidence of #gandcrab connection. #ransomware pic.twitter.com/JJoiT2IOz2

— Eric Klonowski (@noblebarstool) July 2, 2019

Et cette menace semble mériter de ne pas être prise à la légère. Car c’est Revil/Sodinokibi qui a été utilisé pour mener une vaste attaque coordonnée sur une vingtaine « d’entités administratives locales » au Texas dans le courant du mois d’août. Les cyber-délinquants demandaient rien moins que 2,5 M$ à chacune de leurs victimes. La série de recommandations publiée début septembre par la RSSI du service des ressources informatiques de l’état du Texas laissait entrevoir une intrusion par des services RDP. Revil l'a également utilisé, fin août, contre un prestataire de services managés pour affecter de nombreux cabinets dentaires outre-Atlantique.

Selon les chiffres de Qihoo, Sodinokibi s’impose déjà parmi les principales familles de rançongiciels. Au mois d’août, il arrivait ainsi en quatrième position, derrière Stop, Phobos, et GlobeImposter.