Snatch : entre recycleur et lessiveuse de données volées

Le 22 février 2023, Nokoyawa revendiquait une cyberattaque contre MSX International. Cinq jours plus tard, la même revendication faisait son apparition chez Snatch. 

Pour Live Action, il n’y a pas même eu de délai : la revendication est apparue sur les deux vitrines le 22 mai. Le même jour apparaissait, chez Snatch, une revendication concernant Fresca et une autre pour l’association des infirmiers du Canada. La première traînait du côté de Nokoyawa depuis le 4 mai, la seconde depuis le 24 avril. Pour l’état du Chattanooga, l’attente n’aura été que de cinq jours pour le passage d’un site vitrine à l’autre, le 23 mai.

Les illustrations ont continué plus récemment, avec l’association canadienne de psychologie, revendiquée le 5 novembre chez Medusa, puis le 27 novembre, chez Snatch. Le ministère des Affaires des Vétérans de Floride, épinglé en septembre ? Quantum l’avait déjà revendiqué fin mai 2022. Fullerton India, revendiqué deux fois cette année chez Snatch ? Il l’avait été début avril chez LockBit 3.0. 

Wasserstrom et l’hôpital général de Tampa, ont été revendiqués chez Snatch et sur les sites vitrine d’autres franchises, cette année.

Snatch apparaît donc comme lessiveuse à données volées par d’autres, des affidés de franchises de rançongiciel en mode service (RaaS). Mais le groupe pratique aussi le recyclage de butin d’anciennes cyberattaques.

Fin février 2023, il publiait une revendication concernant Ingenico. Lors d’un échange téléphonique avec la rédaction, un porte-parole d’Ingenico expliquait alors que l’examen des captures publiées sur le portail de Snatch fait ressortir des vieilles données, datant de 2019. Des fichiers qui circuleraient donc sur les marchés noirs de la donnée volée, depuis plusieurs années. 

Le FBI et l’agence américaine de la cybersécurité et de la sécurité des infrastructures sont arrivés aux mêmes conclusions. Dans un document conjoint, ils expliquent que Snatch est « apparu pour la première fois en 2018 » suivant un modèle de ransomware-as-a-service (RaaS) et « a fait sa première victime aux États-Unis en 2019 » : « à l’origine, le groupe était connu sous le nom de Team Truniger, d’après le surnom d’un membre clé du groupe, qui opérait auparavant en tant qu’affidé de GandCrab ».

Mais « depuis novembre 2021, un site d’extorsion opérant sous le nom de Snatch a servi de centre d’échange pour les données exfiltrées ou volées aux entreprises victimes ».

Durant l’été, les opérateurs de la vitrine ont d’ailleurs ouvertement clarifié la situation, excluant tout lien avec le ransomware Snatch : « nous sommes l’équipe Security Notification Attachment (SNAtch en abrégé), un groupe spécialisé exclusivement dans la fuite de données sensibles. Nous ne nous occupons pas de verrouiller des entreprises ou des infrastructures critiques, nous ne cherchons pas à empêcher une entreprise de fonctionner en l’attaquant avec un logiciel qui bloque les serveurs de contrôle ». Mais ils sont sans état d’âme lorsque ceux qui leur fournissent lesdites données le font. 

Yelisey Bohuslavskiy, de RedSense, estime que la réutilisation d’anciennes données est un « thème très courant » : « la grande majorité des attaques en extorsion se terminent par le refus de la victime de payer ». 

Mais si, « dans la majorité des cas, les données volées sont ensuite publiées » sur la vitrine de la franchise, « souvent, les groupes oublient de le faire ». Jusqu’à ce qu’ils les fournissent à des lessiveuses comme Snatch.