Dans la suite de l’affaire Colonial Pipeline, deux des forums russes les plus populaires ont banni toute mention des activités rançongiciel de leurs sites. Les administrateurs se sont plaints que le sujet attirait trop d’attention, et dans ce milieu, cela peut mener à sa propre perte. Le président Joe Biden a lui-même pris la parole sur deux cyberattaques récentes, et il interpelle régulièrement la Russie, terre d’accueil de ces forums, sur le sujet.
Problème : les gangs se servaient de ces sites principalement pour recruter des « affiliés », c’est-à-dire des hackers en charge de déployer leurs rançongiciels. Cette main-d’œuvre est essentielle pour maintenir le modèle de « ransomware-as-a-service » adopté par la majorité des groupes. Concrètement, le gang fournit un logiciel chargé de voler puis chiffrer les données de la victime (le fameux rançongiciel), mais c’est aux affiliés de se débrouiller pour le déployer dans le système de la victime. Si le partenariat aboutit à un paiement de rançon, alors le gang gardera entre 20 et 30% du montant, et rémunèrera son associé avec le reste.
Après la fermeture des forums, les gangs les plus réputés comme REvil ont décidé de « passer en privé ». Dans le jargon, cela signifie qu’ils ont restreint le nombre d’affilié à des fidèles en qui ils ont confiance. Mais comme le relève le Bleeping Computer, ce système ne fonctionne pas dans la durée pour les groupes à la recherche d’une croissance d’activité. C’est le cas de LockBit et Himalaya, qui ont donc décidé de réouvrir publiquement leur recrutement, sur un site dédié. Leur publicité touchera moins de cybercriminels, mais ils pourront relancer leurs affaires.
Qui veut mon rançongiciel ?
Pour alpaguer les hackers expérimentés, LockBit promeut la version 2.0 de son malware. Le gang souligne également que son activité n’a pas été perturbée depuis septembre 2019, une durabilité étonnante dans le secteur. Avant de faire bande à part, les opérateurs de LockBit ont tenté de proposer une section privée sur les forums, avec un accès réservé aux utilisateurs de confiance mais, sans grande surprise, aucune suite n’a été donnée à cette demande.
Himalaya, gang de plus petite taille, met également en avant les atouts de son malware. D’après le Bleeping Computer, les groupes les plus célèbres recrutent toutefois leurs affiliés par du bouche-à-oreille, de hacker en hacker. La situation n’est pas revenue à la normale et, pour une fois, c’est une bonne nouvelle pour nous.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.