Comment des cybercriminels apparentés à Evil Corp tentent de brouiller leurs traces
Selon Mandiant, ces manœuvres doivent permettre à ces hackers malveillants d’échapper aux sanctions du Trésor américain qui ont coupé le robinet à cash de leurs activités criminelles.
Vous êtes perdus face à la profusion des rançongiciels à la dénomination parfois bien mystérieuse? Et bien, c’est justement l’effet recherché par les cybercriminels. Le géant de la cybersécurité Mandiant, récemment racheté par Google, vient à ce sujet de publier une note très instructive sur les manœuvres d’un groupe de cybercriminels fortement suspecté d’être apparenté à Evil Corp. Selon la firme, pour échapper aux sanctions du département du Trésor américain, ce groupe tente de brouiller les pistes en jonglant d’un rançongiciel à un autre.
Bonne nouvelle, les sanctions annoncées en décembre 2019 par l’administration américaine contre Evil Corp, soupçonné d’avoir amassé au moins 100 millions de dollars avec son malware bancaire Dridex, ont donc eu un effet. C’était alors “le groupe de cybercriminels le plus dangereux au monde”, estimait la police britannique. Bien que les poursuites américaines n’aient pas entraîné d’arrestation, elles ont visiblement bien coupé le robinet à cash des cybercriminels, en interdisant à des entreprises américaines “de s’engager dans des transactions” avec les mis en cause.
D’un rançongiciel à un autre
Résultat: depuis l’annonce des sanctions, les cybercriminels affiliés à Evil Corp “semblent avoir continuellement changé de rançongiciel”, écrit Mandiant, une observation également partagée par Sentinel One. Les cybercriminels auraient ainsi jonglé avec les rançongiciels Bitpaymer, Doppelpaymer, WastedLocker, Hades, Phoenix Cryptolocker, PayloadBin ou encore Macaw. Comme le rappelle Sentinel One, certains de ces programmes malveillants ont des “similitudes dans le code ou leur configuration” laissant penser que les auteurs sont les mêmes.
Autant de variantes désormais abandonnées par ces cybercriminels pour l’utilisation, comme simple affilié, du rançongiciel LockBit, un logiciel malveillant accessible sous forme de franchise. La manoeuvre peut au premier abord surprendre. Pourquoi un gang aussi pointu accepterait-il de devenir un simple franchisé? Au regard des efforts de ces cybercriminels pour dissimuler leurs liens avec Evil Corp, il s’agit au contraire “d’une évolution naturelle”, analyse Mandiant. Pour la firme, cette utilisation d’un rançongiciel éprouvé leur permet de se fondre dans une activité malveillante plus large.
Vers d’autres opérations de relooking
Il peut également être plus rentable de louer l’accès à un rançongiciel que d’en développer un. A moins, s’interroge Mandiant, que les cybercriminels ne cherchent ainsi à se dégager du temps pour développer un nouveau rançongiciel à partir de zéro. Une façon d’apparaître ultérieurement comme un nouvel acteur malveillant sans lien avec Evil Corp. Ces tentatives pour brouiller les pistes ont un air de famille avec ce qui vient d’être observé avec les cybercriminels de Conti, qui traînent comme un boulet leur soutien public à la Russie après l’invasion de l’Ukraine. Il est d’ailleurs problable que d’autres exemples émergent dans les mois à venir.
Comme l’indique le Wall Street Journal, les sanctions financières contre la Fédération de Russie déployées depuis l’entrée en guerre rendent les paiements de rançons plus risquées, cette industrie criminelle étant notoirement en partie dans les mains de cybercriminels russophones. Selon un avocat interrogé par le quotidien des affaires, Edward McNicholas, il est ainsi devenu “beaucoup plus difficile” de s’assurer que les paiements de rançons ne finissent pas dans les poches d’entités russes sanctionnées. Certes, ce phénomène n’a pas encore été observé en France par ce négociateur interrogé par l’Usine digitale. Mais à terme cela devrait toutefois bien inciter les groupes de cybercriminels déjà apparentés à la Russie à se lancer dans des opérations similaires de relooking.
SUR LE MÊME SUJET
Comment des cybercriminels apparentés à Evil Corp tentent de brouiller leurs traces
Tous les champs sont obligatoires
0Commentaire
Réagir
