« Ce matin, le Bleeping Computer a reçu un email anonyme qui prétendait provenir du FBI , et qui contenait un mot de passe ainsi qu’un lien vers un fichier ZIP protégé ». Site de référence sur les rançongiciels avec un média exhaustif sur le sujet et un forum d’aide prisé, le Bleeping Computer
Le 11 juin, le site américain de référence sur les rançongiciels a récupéré 2 934 clés de déchiffrement créées par le gang Avaddon. Concrètement, chacune de ces clés correspond à une version du rançongiciel, et elles couvrent l’ensemble des victimes dont le système informatique a été chiffré par le logiciel malveillant.
Confiées à l’entreprise de sécurité Emsisoft, les clés ont permis de créer un outil de déchiffrement gratuit dans la journée. Il sera particulièrement utile aux victimes les plus récentes du gang, qui étaient encore en phase de négociation ou qui avaient refusé le paiement de la rançon.
Les victimes les plus anciennes pourraient aussi y trouver un intérêt, si elles n’ont pas supprimé les dossiers chiffrés par Avaddon. Même lorsqu’une victime restaure son système à partir de ses sauvegardes, le système restauré n’est pas forcément identique à celui d’avant l’attaque. Les anciennes victimes pourraient ainsi retrouver des données qu’elles pensaient perdues.
Très actif avant sa disparition
La publication des clés de chiffrement ne vient pas seule : Avaddon semble tout simplement avoir disparu d’Internet. Son site de divulgation de données, ses serveurs ou encore ses messages et profils sur les forums de hackers, tout a disparu.
Parmi les chercheurs en sécurité, personne ne s’attendait à un effacement aussi brutal. Certes, le FBI et l’autorité australienne avaient émis récemment un avertissement aux entreprises sur l’activité du groupe. Mais justement, cette alerte était le signe d’un pic d’attaques de la part d’Avaddon.
Lancé en juin 2020 avec une campagne de phishing simple, mais efficace, Avaddon se hissait parmi les plus grandes figures du secteur. Comme le relève The Record Media, le groupe avait profité du démantèlement de Darkside à la suite de l’affaire Colonial Pipeline pour tenter de récupérer des parts de marché. Dans les chiffres, il a fait au moins 59 victimes depuis le 7 mai, ce qui faisait de lui le deuxième rançongiciel le plus actif sur la période.
Arrêt… ou redémarrage ?
Habituellement, lorsque les gangs rendent les armes, ils se fendent de communiqués pour en donner les raisons… qu’elles soient authentiques ou non. C’est l’occasion de faire de prétendus mea culpa censés calmer les enquêtes en cours. Par exemple, en février, un des administrateurs de Fonix Crypter prétendait arrêter l’activité du gang pour des raisons éthiques. Mais il semblerait que le groupe maitrisait mal son rançongiciel, et qu’il peinait à aider les victimes qui payaient la rançon.
Avaddon est un groupe bien plus sérieux que Fonix. Très réactif, il avait réparé une vulnérabilité de son malware à peine quelques heures après qu’un chercheur l’a pointée du doigt. Il était aussi connu pour répondre rapidement aux demandes de négociations et pour son automatisation de la publication des données de victimes. Il est donc étrange qu’un groupe si organisé disparaisse sans explication.
Semer les forces de l’ordre
Une des théories, relayée par The Record Media, suggère que le groupe va simplement se réorganiser et changer de nom. L’objectif ? Complexifier les enquêtes des forces de l’ordre et des entreprises privées. Sous l’impulsion des plus hautes sphères du pouvoir américain, les autorités se montrent plus agressives que jamais envers les gangs, et le président Joe Biden veut confronter son homologue russe Vladimir Poutine sur le sujet.
Les enquêteurs peuvent identifier les serveurs d’une organisation cybercriminels et suivre ses mouvements, décortiquer son mode opératoire, analyser en profondeurs ses malwares. Plus ils collectent d’informations, plus ils seront susceptibles de remonter aux personnes à la tête de l’organisation. Repartir sur des nouvelles bases serait pou Avaddon l’occasion de rendre une partie de ce travail obsolète?
Avaddon ne serait pas le premier à changer de peau. Gandcrab est ainsi devenu REvil, Nemty est devenu Nefilim et dans une moindre mesure, la fin de Maze a fait émerger Egregor. Ces mues s’accompagnent d’une mise à jour importante du rançongiciel, mais l’équipe de développeurs ne change pas (ou très peu), et ils font généralement appel aux mêmes hackers affiliés. Bref, il faudra attendre quelques mois pour savoir si cette disparition d’Avaddon est pour de bon.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !