terovesalainen - stock.adobe.com

Théoriquement intouchables, mais frappés tout de même avec Avaddon

Les raisons de la disparition d’Avaddon ne sont pas connues à ce stade. Peut-être la pression internationale était-elle devenue trop forte pour les opérateurs. À moins que certaines erreurs n’aient commencé à se voir un peu trop.

En principe, les cyberdélinquants décidant d’utiliser la désormais défunte plateforme RaaS (ransomware-as-a-service) Avaddon ne devaient pas attaquer d’organisations dans la Communauté des États Indépendants (CEI, ou CIS en anglais, pour Commonwealth of Independant States). Manque de chance, cela s’est produit au moins deux fois au mois de mai.

Suite de l'article ci-dessous

Dans un premier cas, la négociation a commencé comme avec une autre, fin avril. Les attaquants demandaient 300 000 $. Impossible pour la victime : ce montant représentait « trois ans de notre budget », a-t-elle indiqué. Le maximum qu’elle se disait en mesure de payer pour éviter d’avoir à tout restaurer (parce que « cela prendrait trop de temps pour nous »), était : 3 000 $.

Les cybercriminels proposent alors un rabais : 150 000 $. Pour la victime, c’est toujours beaucoup trop : « Vous connaissez notre pays ? Comment une petite entreprise en Arménie peut-elle vous payer 150 000 $ ? Ma maison vaut 15 000 $ ». Étonnamment, cela ne semble pas être la première fois que la victime est confrontée à une telle situation : « la dernière fois, il y a un an, j’ai payé 1 700 $ pour votre clé de déchiffrement ». L’échange semble s’arrêter là-dessus.

screenshot d'une dicussion entre la victime et l'opérateur du ransomware
Une entreprise en Arménie frappée avec Avaddon.

Mais après trois jours sans un mot, surprise, les rançonneurs rompent le silence : « contactez-nous si vous voyez cela, il semble que nous ayons une incompréhension ». La victime réagit quelques heures plus tard : « que voulez-vous dire ? ». Réponse : « nous avons découvert que l’une des branches de votre réseau est en Arménie, et notre politique ne nous permet pas de travailler avec les pays du CIS ».

screenshot d'une discussion avec les attaquants inquiets d'un signalement à la police
Les attaquants inquiets, pour une fois, que la police puisse avoir été avertie.

La victime a reçu gratuitement l’outil de déchiffrement. Les truands répondent à plusieurs de ses questions sur la sécurité de son système d’information. Jusqu’à poser une question, trahissant un certain inconfort : « Ok les gars, excusez-nous encore une fois. J’espère que vous n’avez pas signalé ça à la police ? ».

Quelques semaines plus tard, rebelote. Cette fois-ci, la victime engage la conversation en russe et se voit rétorquer : « Bonjour ! Discussion en Anglais ». Mais le négociateur, côté cyber-rançonneurs, semble avoir flairé un lièvre : « d’où êtes-vous ? », demande-t-il. Réponse : Kazakhstan. Un autre pays de la CEI.

screenshot d'une autre discussion avec d'une victime avec les attaquants
Nouvelle bévue, cette fois-ci au Kazakhstan.

Cette fois-ci, il sera demandé à la victime de se prendre en photo à côté d’une pièce d’identité, ainsi qu’une autre de cette dernière avec, en fond, le moniteur d’une machine bloquée par le chiffrement des fichiers. Une heure plus tard, le négociateur d’Avaddon a les pièces en main et confirme : « nous sommes désolés pour cette situation. Nous ne travaillons pas avec les pays du CIS. Vous pouvez télécharger l’outil de déchiffrement ». Gratuitement, donc.

Pour approfondir sur Cybercriminalité

Close