LENSHIKER - stock.adobe.com

Ransomware : Colonial Pipeline, la cyberattaque de trop ?

Dans la foulée de cette cyberattaque, le groupe opérant le ransomware Darkside a indiqué mettre un terme à ses activités. Deux autres ont brutalement disparu. Et plus question de promouvoir ces offres sur les forums spécialisés.

Avis de gros temps dans le landernau du ransomware. Coup sur coup, trois groupes opérant des rançongiciels en mode service ont disparu des écrans, sans la moindre annonce d’opération de police. Les administrateurs de forums russophones utilisés jusqu’ici pour promouvoir certaines de ces opérations ont en outre annoncé bannir ce type de discussions publiques. Alors même que deux nouveaux groupes venaient d’ailleurs de s’y annoncer.

Suite de l'article ci-dessous

L’attaque conduite par un affidé de Darkside contre Colonial Pipeline, début mai, et qui fortement perturbé la distribution de carburants sur la côte est des États-Unis durant une semaine, aura peut-être été celle de trop. Tôt, ce jeudi 13 mai, les opérateurs de ce rançongiciel ont indiqué avoir perdu le contrôle de leurs serveurs et se heurter à un mur avec l’hébergeur : selon eux, le support technique s’est refusé à fournir la moindre information à quiconque autre que les autorités. Le pays concerné n’a pas été précisé. Des fonds n’ayant pas encore été distribués auraient été déplacés à l’insu des cyberdélinquants. Intel 471 relève là que le service de blanchiment BitMix, utilisé notamment par Avaddon, Darkside et Revil, pourrait avoir fermé ses portes.

Concrètement, de l’extérieur, le site vitrine sur lequel les cybercriminels agrainaient leurs victimes récalcitrantes, est devenu inaccessible. Pendant plusieurs heures, le site sur lequel étaient conduites les négociations est resté accessible, mais il semblait impossible d’entrer dans le moindre salon de discussion. Désormais, ce site-là répond lui aussi aux abonnés absents. L’un des sept serveurs du réseau de distribution de contenu (CDN) de Darkside serait toutefois encore joignable en ce 17 mai au matin. Les opérateurs du ransomware ont indiqué prévoir de fournir les outils de déchiffrement à toutes les victimes n’ayant pas encore payé de rançon. Toshiba TFIS en profitera peut-être.

Mais deux autres opérateurs de rançongiciel semblent avoir décidé de disparaître des écrans dans la foulée des annonces de Darkside. Vendredi 14 mai, le site vitrine d’Everest, apparu en toute fin d’année dernière, a lui aussi disparu du réseau Tor. Et dans la journée de samedi, celui d’Ako/Ranzy a commencé à renvoyer vers… Google.

De son côté, le groupe Revil, aux commandes du ransomware Sodinokibi, a manifestement senti passer un coup de vent. Sur un forum russophone bien connu des cyberdélinquants, il a ainsi expliqué être « forcé d’introduire de nouvelles restrictions significatives ». Et d’interdire désormais les attaques sur les mondes de la santé et de l’éducation, ainsi que les administrations de tout pays. En outre, toute cible devra être approuvée par Revil avant engagement.

Les opérateurs du groupe Avaddon ont également mis en place de nouvelles règles dans la foulée de la disparition de Darkside. Là encore, les attaques sur le secteur publique, la santé et l’éducation sont interdites. Et d’ajouter à cela les organisations caritatives… ainsi qu’une validation des cibles potentielles avant engagement.

Les opérateurs du groupe Conti n’ont manifestement pas encore adopté de politique similaire : ce sont eux qui sont à l’origine de la paralysie du système d’information du système de santé irlandais, le HSE ; ils ont demandé près de  20 millions de dollars de rançon.

Et les retombées de l’attaque de Colonial Pipeline par Darkside ne s’arrêtent pas là. Très vite, trois forums russophones bien connus des cyberdélinquants ont décidé de bannir les programmes d’affiliation de ransomwares de leurs pages. Pour les administrateurs de ces forums, c’est bien simple : les attaques de rançongiciel commencent à trop attirer l’attention sur les activités d’un petit monde souterrain qui se sent probablement en sécurité dans l’ombre.

Annonce de l'arrêt des activités de DarkSide.

Cette démarche n’a pas été du goût de tout le monde, toutefois. L’un de ces forums est actuellement difficilement accessible. L’explication, fournie par ses administrateurs, en est simple : le forum fait l’objet d’une importante attaque en déni de service distribué (DDoS). Et d’expliquer que « des demandes de tuer éternellement le forum sont adressées à quasiment tous les DDoSers plus ou moins sérieux de la communauté. Ils offrent des sommes décentes ». Pour les administrateurs, cela ne fait pas de doute : ces attaques constituent une réponse directe des opérateurs de ransomwares en mode service.

Il est clair que les opérateurs de ransomwares bien installés qui recrutaient allègrement sur ces forums n’ont dû guère apprécier, de même que ceux qui venaient de s’y annoncer, à l’instar de Galaxy et de Trinage.

Babuk annonce sa nouvelle orientation.

Faut-il pour autant s’attendre à un recul de la menace ? Rien n’est moins sûr. La disparition d’Egregor et de NetWalker, en début d’année, semble surtout avoir profité à d’autres groupes. Robert M. Lee, de Dragos, estime d’ailleurs que Darkside est plutôt parti pour… revenir sous une autre « marque ». Yelisey Boguslaskiy, d’Advanced Intelligence, évoque d’ailleurs des activités encore feutrées de ce qui pourrait être un ancien de NetWalker. Un spécialiste de l’intrusion. Et justement, plus que les opérateurs de ransomware as a service, la menace vient d’abord de ce vivier de spécialistes de l’intrusion.

Ces experts ne manquent d’ailleurs déjà pas d’options, ne serait-ce qu’à travers des outils légitimes, à commencer par BitLocker. Babuk a même récemment indiqué ne plus miser sur le chiffrement, mais se contenter du vol de données pour faire chanter ses cibles… Et d’annoncer en outre le développement d’une « énorme plateforme de leaks indépendants », sans « règle ni boss »…

Pour approfondir sur Cybercriminalité

Close