Ransomware : aperçu de la nébuleuse de l’infrastructure d’Egregor

Que se passe-t-il autour de l’infrastructure du ransomware Egregor ? La question reste ouverte. Depuis plusieurs semaines, le site Web vitrine, où était étalée la liste des victimes résistant à l’extorsion souffrait d’indisponibilités répétées. Mais il est régulièrement réapparu, jusqu’à disparaître à nouveau en début de semaine.

Ces allées et venues n’ont pas manqué d’alimenter certaines interrogations sur divers forums russophones. Certains ont ainsi exprimé leur perplexité face à des archives de données volées anciennes, mais redéposées sur le site et protégées par mot de passe, à l’instar de celle relative à la cyberattaque contre Randstad. Et un autre habitué de l’un ces forums de relever au passage que les « nouvelles archives sans mot de passe contiennent des données, mais sans intérêt ni valeur ».

Surtout, selon nos sources, le site Web utilisé par les opérateurs d’Egregor pour dialoguer avec leurs victimes n’avait jamais été affecté par les soucis techniques ayant touché la vitrine, jusqu’à la fin janvier. Mais les données de RiskIQ font ressortir des mouvements pour le moins intrigants.

Les sites d’Egregor se sont promenés entre les clouds d’Alibaba et de Tencent, à l’automne. Mais ils sont aussi passés par des adresses IP gérées sur un système autonome attribué à l’hébergeur russe Crex Fex Pex Internet System Solutions. L’interface de dialogue avec les victimes y est restée tout un mois entier.

Le système autonome en question ne routait que 1 792 adresses IPv4. Celui-ci, et le site Web de l’hébergeur répondent désormais aux abonnés absents. Il faut dire que l’entreprise correspondante a été liquidée le 6 février 2020. Et selon le registre des entreprises russe, l’adresse mentionnée pour l’enregistrement n’était pas correcte.

Le système autonome en question a cessé d’être annoncé sur les routes BGP le 5 décembre dernier. Un second système autonome attribué à Crex Fex Pex a quant à lui cessé d’être annoncé dix jours plus tard : autrement dit, les adresses IP qui étaient censées y être gérées sont devenues complètement injoignables. Et cela vaut encore aujourd’hui, la plage d’adresses IP concernées étant désormais entre les mains de l’IANA, l’autorité en charge des allocations octroyées aux registres Internet régionaux.

Ladite plage d’adresses IP n’est pas complètement anodine. On trouve aisément des rapports d’activités malicieuses sur certaines adresses IP précédemment attribuées à Crex Fex Pex, avec par exemple, du service de commande et de contrôle pour le cheval de Troie Remcos, en mars 2020.

L’expert d’Internet Stéphane Bortzmeyer relève que cette plage d’adresses IP a été temporairement annoncée – au moins jusqu’au 14 janvier 2021 – par un hébergeur enregistré aux Seychelles et qui déclare explicitement sur son site Web : « notre réseau héberge des services non supervisés de libre expression et de cryptomonnaies ».

Appelé 1337team Ltd, cet hébergeur affiche une adresse quelque peu sulfureuse, aux Seychelles : elle apparaît à de nombreuses reprises dans la base de données des Offshore Leaks de l’ICIJ. Une simple boîte aux lettres, très probablement, donc.

On trouve la trace de trois systèmes autonomes ayant été opérés par 1337team Ltd, le dernier s’étant vu attribuer son numéro le 13 novembre dernier. C’est le seul des trois à annoncer des plages d’adresses IP, et en l’occurrence une seule, pour 256 adresses. Début février, ce système n’annonçait qu’un peering, avec un système autonome du Russe Infolika.

Là, les choses gagnent encore en obscurité : ce n’est pas le RIPE NCC, aux Pays-Bas, qui aurait dû attribuer le numéro des systèmes autonomes à 1337team Ltd, mais l’Afrinic, relève Stéphane Bortzmeyer. Surtout, Infolika, enregistré mi-novembre 2014 auprès des services fiscaux russes, a été liquidée fin décembre 2020.

Depuis peu, le système autonome actif de 1337team Ltd affiche un nouveau peering, avec un système autonome du… Forum international des réseaux électriques. Récemment, les sites Web d’Egregor ont trouvé refuge chez un autre hébergeur russe, Hostway LLC, basé à Saint-Pétersbourg. Ce dernier présente une structure qui ne manque pas non plus d’interpeller. Nous y reviendrons prochainement dans un second article.