stokkete - stock.adobe.com

Ransomware : quand deux revendications ne sont pas synonymes de deux attaquants

Une cyberattaque revendiquée sur deux vitrines de franchises différentes ? La conséquence d’un accès initial vendu à deux acteurs différents ? C’est plus vraisemblablement l’œuvre d’un attaquant travaillant sous deux bannières.

Le 15 mars dernier 2024, 16 nouvelles revendications sont apparues sur le site vitrine de la franchise mafieuse LockBit. Plus de 5 d’entre elles avaient préalablement fait leur apparition chez… Alphv/BlackCat, parti avec la caisse dix jours plus tôt, comme le relevait alors Ido Cohen, de DarkFeed.

De tels cas de revendications croisées avaient déjà été observés en 2021. Mais ils s’avèrent rares : entre le 1er janvier 2023 et le 15 mars 2024, nous en avons seulement comptabilisé 88.

Dans ce lot, il convient de mettre de côté les revendications publiées par Snatch : actuellement, cette enseigne joue un rôle de plateforme de diffusion de données volées lors de cyberattaques menées par des tiers, et parfois bien antérieurement. Cette lessiveuse a notamment été utilisée 7 fois, en 2023, par un acteur œuvrant sous la bannière de Nokoyawa. Mais un ou des affidés des enseignes LockBit, Medusa, 8base, Alphv, Dragonforce ou encore Cactus y ont également eu recours.

Sur la période considérée, nous avions compté 10 revendications apparues sur la vitrine de LockBit après avoir été initialement publiées chez Daixin, Play, Royal, 8base, Hunters International, Alphv, BlackBasta, ou encore RansomHub.

Nous avions également constaté 15 cas de revendication initiale chez LockBit, suivies d’une revendication postérieure chez BianLian (3 cas), Play (2 cas), 8base (2 cas), Alphv, ou encore Hunters International et même ThreeAM, en janvier 2024. 

Toujours début 2024, trois revendications initialement publiées fin octobre et début novembre 2023 sous bannière NoEscape avaient fait leur apparition chez Hunters International.

Une revendication apparue chez Royal et Black Basta n’est pas, en elle-même, vraiment surprenante : comme BlackByte, Karakurt, ou encore Royal, BlackSuite et ThreeAM, ces enseignes sont considérées comme des émanations de Conti.

Mais même les ex-Conti semblent enclins à travailler avec d’autres vitrines : nous avons observé des revendications publiées d’abord chez Black Basta et BlackByte avant de finir chez Alphv.  

D’autres cas peuvent apparaître plus surprenants, avec revendication croisée chez Trigona et Hunters International, ou encore Stormous et Black Basta, voire un cas impliquant successivement Monti, Donuts Leak, et Alphv.

Ces observations confortent l’idée que les franchises de ransomware sont de plus en plus utilisées comme de simples marques, des écrans de fumée derrière lesquels se cachent les affidés.

Sur X (anciennement Twitter), Jon DiMaggio, d’Analyst1, confirme : « à plusieurs reprises, j’ai été appelé pour des incidents au cours desquels deux charges utiles avaient été identifiées dans l’environnement. Dans chaque cas, l’idée initiale était que deux groupes ciblaient la même victime. En réalité, un affilié soutenait deux groupes et lorsque l’EDR a identifié la charge utile d’une marque, il en a laissé tomber une autre ». 

De quoi « donner l’impression que deux attaques avaient eu lieu ». Mais ce n’était pas le cas : « en réalité, un affilié travaillait avec deux fournisseurs » de rançongiciel en mode service (RaaS).

Selon un fin connaisseur de l’écosystème cybercriminel lié aux rançongiciels, « les grosses cibles sont généralement piratées en coopération avec d’autres ». Des partenariats sont rares entre groupes affidés, mais peuvent survenir. Pour lui, nous venons potentiellement d’en avoir l’illustration avec l’apparition, sur la vitrine de l’enseigne Apt73, de 6 revendications concernant des victimes préalablement revendiquées chez Black Basta. « L’explication la plus simple est qu’un affidé Black Basta faisant partie d’Apt73 s’en soit chargé ». Et de souligner qu’une vitrine n’est finalement qu’un portfolio. Un portfolio pour chacun des acteurs ayant participé à une attaque.

Sur LinkedIn, Alex Necula, d’ACS Data Systems, indiquait en mars 2024 avoir « découvert un lien étroit entre les gangs de ransomwares BlackCat et Trigona » sur la base de deux réponses à incidents. Les assaillants ont utilisé rclone pour exfiltrer des données vers un « même compte mega[.]nz »… renvoyant à Trigona. « Nous pouvons en déduire que le même pentester a travaillé avec les deux gangs de Ransomware as a Service », conclut-il.

Une telle situation n’est pas nécessairement isolée et peut être motivée par des conflits entre de tels acteurs et les opérateurs de franchises de rançongiciel. Tout récemment, dans une conversation privée, un pentester disant préparer sa future enseigne de RaaS (rançongiciel en mode service) nous a ainsi expliqué avoir attaqué deux fois une même victime, successivement, sous deux bannières différentes. Pourquoi ? Il dit s’être fait arnaquer par la première enseigne mafieuse, mais avoir tout de même voulu chercher à valoriser les accès initiaux à sa disposition. Il est donc revenu à la charge, attaquant une seconde fois la même victime.  

Article publié initialement le 18 mars 2024, mis à jour le 20 mars 2024, le 31 octobre 2024, puis le 7 avril 2025.

Pour approfondir sur Menaces, Ransomwares, DDoS