Darkside – le groupe de rançongiciels qui a perturbé la distribution d’essence dans une large partie des États-Unis cette semaine – est devenu sombre, laissant incertain si le groupe cesse, suspend ou modifie ses opérations ou orchestre simplement une arnaque à la sortie.
Jeudi, les huit sites Web sombres utilisés par Darkside pour communiquer avec le public est tombé, et ils restent en panne au moment de la publication. Du jour au lendemain, un message attribué à Darkside a affirmé, sans fournir aucune preuve, que le site Web du groupe et l’infrastructure de distribution de contenu avaient été saisis par les forces de l’ordre, ainsi que la crypto-monnaie qu’il avait reçue des victimes.
Le chien a mangé nos fonds
« Pour le moment, ces serveurs ne sont pas accessibles via SSH et les panneaux d’hébergement ont été bloqués », a déclaré le message, selon une traduction du message en russe. publié vendredi par la société de sécurité Intel471. «Le service d’assistance à l’hébergement ne fournit aucune information sauf ‘à la demande des autorités répressives.’ De plus, quelques heures après la saisie, les fonds du serveur de paiement (appartenant à nous et à nos clients) ont été retirés à un compte inconnu. »
Le message a poursuivi en affirmant que Darkside distribuerait un décrypteur gratuitement à toutes les victimes qui n’ont pas encore payé une rançon. Jusqu’à présent, aucun rapport n’indique que le groupe a tenu cette promesse.
Si cela est vrai, les saisies représenteraient un grand coup d’État pour les forces de l’ordre. Selon chiffres nouvellement publiés de la société de suivi de crypto-monnaie Chainalysis, Darkside a rapporté au moins 60 millions de dollars au cours de ses sept premiers mois, dont 46 millions de dollars au cours des trois premiers mois de cette année.
Identifier un service caché de Tor serait également un score énorme, car cela signifierait probablement que le groupe a commis une erreur de configuration majeure lors de la configuration du service ou que les forces de l’ordre connaissent une grave vulnérabilité dans le fonctionnement du dark web. (Les analystes d’Intel471 affirment que certaines des infrastructures de Darkside sont destinées au public – c’est-à-dire à Internet ordinaire – afin que les logiciels malveillants puissent s’y connecter.)
Mais jusqu’à présent, il n’y a aucune preuve pour corroborer publiquement ces affirmations extraordinaires. En règle générale, lorsque les forces de l’ordre des États-Unis et des pays d’Europe occidentale saisissent un site Web, elles publient un avis sur la page d’accueil du site qui divulgue la saisie. Voici un exemple de ce que les gens ont vu après avoir essayé de visiter le site pour le groupe Netwalker après la suppression du site:
Jusqu’à présent, aucun des sites de Darkside n’affiche un tel avis. Au lieu de cela, la plupart d’entre eux expirent ou affichent des écrans vierges.
Ce qui est encore plus douteux, c’est l’affirmation selon laquelle les stocks considérables de crypto-monnaie du groupe ont été pris. Les personnes expérimentées dans l’utilisation de la monnaie numérique savent qu’il ne faut pas la stocker dans des «hot wallets», qui sont des coffres-forts numériques connectés à Internet. Étant donné que les portefeuilles actifs contiennent les clés privées nécessaires pour transférer des fonds vers de nouveaux comptes, ils sont vulnérables aux piratages et aux types de saisies revendiqués dans la publication.
Pour que les forces de l’ordre confisquent la monnaie numérique, les opérateurs de Darkside auraient probablement dû la stocker dans un portefeuille chaud, et le bureau de change utilisé par Darkside aurait dû coopérer avec l’agence d’application de la loi ou être piraté.
Je doute fort qu’un groupe de ransomware conserve ses bénéfices dans un portefeuille chaud sur un échange de crypto-monnaie qui coopérerait avec les forces de l’ordre. Ils ne se tournent vers des bourses louches que lorsqu’ils ont besoin de blanchir de l’argent. Même dans ce cas, le blocage serait plus crédible que le transfert.
– Vess (@VessOnSecurity) 14 mai 2021
Il est également possible qu’un suivi rapproché par une organisation comme Chainalysis identifie les portefeuilles qui ont reçu des fonds de Darkside, et les forces de l’ordre ont par la suite confisqué les avoirs. En effet, Elliptic, une société d’analyse de blockchain distincte, a déclaré avoir trouvé un Portefeuille Bitcoin utilisé par DarkSide recevoir des paiements de ses victimes. Jeudi, a rapporté Elliptic, il a été vidé de 5 millions de dollars.
Pour le moment, on ne sait pas si ce transfert a été initié par le FBI ou un autre groupe d’application de la loi, ou par Darkside lui-même. Quoi qu’il en soit, Elliptic a déclaré que le portefeuille – qui depuis début mars avait reçu 57 paiements de 21 portefeuilles différents – fournissait des indices importants à suivre aux enquêteurs.
«Ce que nous constatons, c’est que 18% du Bitcoin a été envoyé à un petit groupe d’échanges», a écrit le co-fondateur et scientifique en chef d’Elliptic Tom Robinson. «Ces informations fourniront aux forces de l’ordre des pistes essentielles pour identifier les auteurs de ces attaques.»
Non-sens, battage médiatique et bruit
Le message de Darkside est venu comme un forum criminel clandestin de premier plan appelé XSS a annoncé qu’il interdisait toutes les activités de ransomware, une volte-face majeure du passé. Le site était auparavant une ressource importante pour les groupes de ransomwares REvil, Babuk, Darkside, LockBit et Nefilim pour recruter des affiliés, qui utilisent le malware pour infecter les victimes et en échange partagent une part des revenus générés. Quelques heures plus tard, tous les messages de Darkside publiés sur XSS étaient tombés.
Dans un Message du vendredi matin, la société de sécurité Flashpoint a écrit:
Selon l’administrateur de XSS, la décision repose en partie sur des différences idéologiques entre le forum et les opérateurs de ransomware. En outre, l’attention médiatique des incidents très médiatisés s’est traduite par une «masse critique d’absurdités, de battage médiatique et de bruit». La déclaration XSS donne quelques raisons à sa décision, en particulier que les collectifs de ransomware et les attaques qui les accompagnent génèrent «trop de relations publiques» et augmentent les risques géopolitiques et répressifs en un «danger[ous] niveau. »
L’administrateur de XSS a également affirmé que lorsque «Peskov [the Press Secretary for the President of Russia, Vladimir Putin] est obligé de trouver des excuses devant nos «amis» à l’étranger – c’est un peu trop. » Ils ont créé un lien hypertexte sur le site Internet Russian News Kommersant intitulé «La Russie n’a rien à voir avec des attaques de piratage contre un pipeline aux États-Unis» comme base de ces affirmations.
En quelques heures, deux autres forums clandestins – Exploit et Raid Forums – avaient également interdit les publications liées aux ransomwares, selon images circulant sur Twitter.
REvil, quant à lui, a déclaré qu’il interdisait l’utilisation de son logiciel contre les organisations de soins de santé, d’éducation et gouvernementales, The Record signalé.
Les ransomwares à la croisée des chemins
Les mouvements de XSS et REvil posent une perturbation majeure à court terme de l’écosystème des ransomwares car ils suppriment un outil de recrutement clé et une source de revenus. Les effets à long terme sont moins évidents.
«À long terme, il est difficile de croire que l’écosystème des ransomwares s’éteindra complètement, étant donné que les opérateurs sont motivés financièrement et que les systèmes utilisés ont été efficaces», ont déclaré les analystes d’Intel471 dans un e-mail. Ils ont dit qu’il était plus probable que les groupes de ransomwares «deviendront privés», ce qui signifie qu’ils ne recruteront plus publiquement d’affiliés sur les forums publics, ou qu’ils dénoueront leurs opérations actuelles et changeront leur nom sous un nouveau nom.
Les groupes de ransomwares pourraient également modifier leur pratique actuelle de chiffrement des données afin qu’elles soient inutilisables par la victime tout en téléchargeant les données et en menaçant de les rendre publiques. Cette méthode de double extorsion vise à accroître la pression sur les victimes pour qu’elles paient. Le groupe de rançongiciels Babuk a récemment commencé à supprimer progressivement son utilisation de logiciels malveillants qui crypte les données tout en maintenant son blog qui nomme et fait honte aux victimes et publie leurs données.
«Cette approche permet aux opérateurs de ransomware de récolter les bénéfices d’un événement d’extorsion de chantage sans avoir à faire face aux retombées publiques de la perturbation de la continuité des activités d’un hôpital ou d’une infrastructure critique», ont écrit les analystes d’Intel471 dans l’e-mail.
Pour l’instant, la seule preuve que l’infrastructure et la crypto-monnaie de Darkside ont été saisies sont les paroles de criminels reconnus, ce qui est à peine suffisant pour envisager une confirmation.
«Je peux me tromper, mais je soupçonne qu’il s’agit simplement d’une arnaque à la sortie», a déclaré à Ars Brett Callow, analyste des menaces au sein de la société de sécurité Emsisoft. «Darkside peut naviguer vers le coucher du soleil – ou, plus probablement, changer de nom – sans avoir à partager les gains mal acquis avec leurs partenaires dans le crime.»