Ransomware-as-a-service détournement des paiements

Détournement des paiements : l’auteur d’un ransomware piraté

L’arroseur arrosé ! Découverte du détournement des paiements liés à la cyberattaque d’un ransomware. Le pirate s’est fait pirater son service malveillant.

Des pirates ont réussi le détournement des paiements effectués par des victimes d’un logiciel de rançonnage. C’est les chercheurs de chez Proofpoint qui ont découvert le pot-aux-roses. Les pirates « hackent » le système mis en place par un autre malveillant. Ce dernier avait lancé son ransomware et se faisait payer, via une page dédiée, en Bitcoin. Bilan, les « concurrents » ont trouvé le moyen de détourner les sommes réclamées par le ransomware. Les bitcoins sont envoyés vers leurs propres portefeuilles en modifiant la source des pages Web utilisées pour le paiement. Ils ont remplacé les adresses Bitcoin contrôlées par l’auteur du ransomware.

Par conséquent, les opérateurs de cette attaque et de détournement des paiements n’empêchent pas seulement les victimes du ransomware de déchiffrer leurs fichiers en payant une rançon, mais volent également les acteurs du rançonnage. Il semble qu’il s’agisse du premier système de ce type qui touche à la fois les victimes et les auteurs de ransomware. Même avec la volatilité récente du prix de la plupart des devises cryptographiques, en particulier le bitcoin, l’intérêt des utilisateurs reste élevé.

Dans le même temps, les alternatives bitcoins comme Monero et Ethereum poursuivent leur tendance à la hausse se plaçant ainsi dans la ligne de mire des acteurs menaçants à la recherche de profits rapides et de transactions anonymes. Le détournement des paiements ne fait que commencer.

Récemment, les mêmes chercheurs ont suivi le gigantesque réseau de robots Smominru, dont la puissance de calcul combinée avait rapporté des millions de dollars à ses opérateurs. Un code pirate qui a surtout touché l’Asie, Inde et Taïwan en tête, ainsi que la Russie, l’Ukraine et le Brésil.

Pendant ce temps… Gandcrab 2

A propos de rançonnage, ce 7 mars, l’auteur du ransomware-as-a-service GandCrab vient d’annoncer sur exploit.in, un espace Russe accessible que sur invitation, la sortie de la version 2 de son outil malveillant (Un exemple de ransomware-as-a-service). Il y a quelques jours, la version 1 de ce service pirate était stoppé par Europole et la police Roumaine. La première version de ce ransomware-as-a-service utilisait un serveur de contrôle dont le nom de domaine n’était pas autorisé de manière standard. Pour obtenir l’adresse IP de ce serveur, le ransomware exécutait la commande nslookup et cherchait les données nécessaires dans la sortie correspondant à la commande exécutée.

Autrement dit, impossible de déchiffrer les fichiers avant que plusieurs éditeurs d’antivirus, dont BitDefender, proposent le moyen de cracker le code. Le serveur de commande de GandCrab! 1 infiltré par les autorités.

Autrement dit, cette version 2 de Gandcrab chiffre dorénavant tous les fichiers situés sur le PC, sauf pour le système. Chiffrement du trafic, et dorénavant, il est aussi aléatoire (trafic morph). Gandcrab 2 est écrit en C++. Il utilise WinAPI. Le fichier piégé ne pèse que 69 Ko ! Côté chiffrement, AES avec une clé de 256 bits et le chiffrement de la clé se produit en utilisant RSA-2048.

La GandCrab Team a appris de ses erreurs

Premièrement, pas doute, la GandCrab Team a appris de ses erreurs. Lorsque vous éteignez ou redémarrez l’ordinateur piégé, GandCrab 2 commence à rechercher de nouveaux fichiers et supports amovibles. Un système baptisé « Canary » permet de contourner les outils anti-ransomware. Malin, les pirates ? Ils savent qu’ils risquent gros si leur outil malveillant s’attaquait à une entité Russe ou amie. Bilan, le logiciel pirate ne fonctionne pas dans les pays : RU, AM, AZ, BY, GE, KG, KZ, MD, TJ, TM, UA, UZ.

Ensuite, la page des victimes est consultable via le réseau TOR (.onion). Elle est également accessible à partir d’un navigateur WEB. Cela augmente le nombre de paiements. Un « tchat » propose de parler avec « son » pirate.

Enfin, après paiement, la victime reçoit le « décrypteur » et les instructions pour récupérer ses fichiers. En cas de non-paiement dans le temps imparti, le montant double automatiquement.

Pour conclure, et pendant ce temps, The GandCrab Team récolte un pourcentage de l’argent. , j’ai pu constater entre 20 et 40% de la somme ! Les utilisateurs, triés sur le volet. Les darknautes intéressés doivent contacter la team. Ils doivent fournir certaines informations, comme le trafic généré par le pirate loueur.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Pingback: ZATAZ Rétrospective 2018 : le web, plus troué qu'un gruyère ? - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.