IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des opérateurs de ransomware qui s'en prennent à des infrastructures américaines travailleraient avec les services de renseignement russes
Selon un rapport de la société de cybersécurité Analyst1

Le , par Stéphane le calme

181PARTAGES

7  0 
Les services de renseignement russes auraient collaboré avec des opérateurs de ransomware de premier plan pour compromettre le gouvernement américain et les organisations affiliées au gouvernement, selon un rapport de la société de cybersécurité Analyst1.

Selon le rapport :

« En juin 2016, les criminels en Russie gagnaient environ 7 500 $ par mois en effectuant des opérations de ransomware. Aujourd'hui, les attaquants gagnent des millions de dollars avec une seule attaque. Malheureusement, les attaques par ransomware vont de mal en pis. Plus tôt cette année, le département de police de Washington DC est tombé aux mains d'un attaquant de ransomware qui a menacé de publier des données sensibles sur des informateurs et des agents infiltrés – à moins qu'ils n'acceptent de payer une rançon lourde. Puis, en mai, des pirates informatiques basés en Russie ont attaqué Colonial Pipeline, ce qui a entraîné une pénurie de carburant sur la côte est des États-Unis. Peu de temps après, d'autres attaquants basés en Russie ont paralysé JBS : la plus grande entreprise de transformation de viande en Amérique du Nord. En conséquence directe de l'attaque, JBS a temporairement fermé neuf usines de transformation de viande à travers les États-Unis. L'impact financier et opérationnel de ces attaques a placé les ransomwares comme l'une des plus grandes menaces pour la sécurité nationale des États-Unis ».

Pourquoi avoir lancé cette étude ? Analys1 explique les objectifs :

« Plusieurs criminels qui dirigent ou participent à la cybercriminalité organisée ont été nommés et inculpés pour leurs infractions dans des actes d'accusation fédéraux américains. Malgré les accusations criminelles, le gouvernement russe protège les individus derrière les attaques et ne considère pas leurs attaques par ransomware comme un crime tant qu'elles ne ciblent pas les organisations russes. Nous savons que le gouvernement russe autorise les attaques, ce qui soulève la question de savoir si la Russie est derrière ou soutient d'une manière ou d'une autre les attaques de ransomware ? Pour en savoir plus, nous avons mené des recherches dans le but :
  1. D'identifier les relations humaines entre les criminels ransomware et le gouvernement russe. Cela comprend les parents, les amis, les employeurs et les affiliations liées à la criminalité.
  2. D'identifier les associations techniques entre les variantes de ransomware et les logiciels malveillants attribués au gouvernement russe.
  3. D'identifier toute preuve liant les cybercriminels organisés qui mènent des attaques de ransomware à des activités et opérations liées à l'espionnage

Sur la base des recherches détaillées dans le reste du rapport, Analyst1 a tiré les conclusions suivantes*:
  • Pour la première fois, nous avons découvert des liens entre deux directions du renseignement russes, le SVR et le FSB – en collaboration avec des opérateurs de ransomware, travaillant ensemble pour compromettre les organisations affiliées au gouvernement américain entre octobre et décembre 2020.
  • Plusieurs individus qui mènent des attaques de ransomware et sont affiliés à des organisations criminelles basées en Russie ont en fait des alliances avec le gouvernement russe. Le Service fédéral de sécurité russe employait des personnes responsables de la gestion de plusieurs organisations criminelles. Un groupe a mené des attaques de ransomware, tandis que l'autre s'est spécialisé dans les opérations de malware bancaire. De plus, ces hommes ont des affiliations avec d'autres opérateurs criminels russes derrière les récentes attaques de ransomware.
  • Un malware d'espionnage personnalisé, connu sous le nom de Sidoh, partage le code source avec le ransomware Ryuk, que les cybercriminels russes ont fréquemment utilisé. Sidoh utilise des mots-clés pour trouver et voler des documents gouvernementaux/militaires des États-Unis.
  • Malgré le chevauchement du code avec le ransomware Ryuk, Analyst1 ne pense pas que Wizard Spider ait développé ou utilise le malware Sidoh. Cependant, nous pensons que quelqu'un ayant accès au code source de Ryuk a développé Sidoh à des fins d'espionnage. Il peut également s'agir d'un faux drapeau, mais le nouveau code ajouté au-dessus de Ryuk n'a pas été développé par le même auteur derrière d'autres logiciels malveillants utilisés par Wizard Spider. Les créateurs de Sidoh l'ont également destiné à cibler les institutions financières à la recherche de données SWIFT et IBAN. Cela pourrait indiquer une volonté de cibler les institutions financières. Cependant, le malware est peu développé et sujet aux faux positifs. Heureusement, tous ces facteurs le rendent plus facile à détecter et à atténuer à ce stade de son développement.
  • Un certain nombre de liens existent déjà entre l'attaquant de ransomware EvilCorp et un adversaire d'espionnage connu sous le nom de SilverFish. Ces liens incluent le ciblage, l'infrastructure, les tactiques et d'autres outils pertinents.
  • Les logiciels malveillants d'espionnage précédemment observés en Russie à partir de 2011, que nous appelons Infostealer.GOZ, partageaient du code source et étaient essentiellement une version modifiée de GameOver Zeus (GOZ). Ils ont des fonctionnalités similaires (pas de code partagé) au malware Sidoh récemment découvert.



Deux bureaux de renseignement russes (le Service fédéral de sécurité, ou FSB, et le Service de renseignement étranger, ou SVR) auraient collaboré avec des individus de « plusieurs organisations cybercriminelles », selon les analystes du cabinet dans le rapport. Son rapport indique que ces cybercriminels ont aidé les services secrets russes à développer et à déployer des logiciels malveillants personnalisés ciblant des entreprises américaines qui servent des clients militaires américains.

Les groupes de piratage ont utilisé une variante du ransomware Ryuk, utilisé pour les attaques contre les grandes entreprises, appelé "Sidoh", créé spécifiquement pour l'espionnage, selon Analyst1. Le code a été lancé entre juin 2019 et janvier 2020 et s'est caché en arrière-plan des machines Windows, récoltant silencieusement les frappes clavier et les documents sensibles.

Une attaque décrite dans le rapport a été exécutée par un groupe surnommé EvilCorp en octobre 2020. Un autre groupe connu sous le nom de SilverFish a ciblé la même victime seulement deux mois plus tard en utilisant la même infrastructure technique, des outils de piratage et des scripts malveillants. Les groupes ont utilisé une technique appelée «*domain fronting » pour masquer leur activité. Ils se sont probablement appuyés sur un outil de piratage éprouvé appelé Mimikatz pour infiltrer les systèmes ciblés, puis ont distribué des logiciels malveillants à l'aide d'une application Windows PowerShell.

« Nous pensons que Sidoh a été créé spécifiquement pour l'exfiltration de données », a déclaré Jon DiMaggio, auteur du rapport et chercheur principal chez Analyst1. « Il explore les documents pour des mots-clés spécifiques, comme "arme" et "top secret", puis renvoie discrètement les informations à l'attaquant ».

DiMaggio a déclaré que son équipe avait utilisé des informations exclusives et open source pour identifier des membres individuels de gangs de ransomware ayant des liens connus avec les services de renseignement russes.

« Nous avons pris beaucoup de données et recherché de nouveaux logiciels malveillants, les avons analysés pour voir comment ils fonctionnaient et ce qu'ils faisaient, et avons recherché des liens avec les noms et les pseudos des individus et des gangs, le dark web et l'activité des forums de pirates », a-t-il déclaré.

Les chercheurs ont ensuite schématisé manuellement les connexions entre les individus, les dossiers du FBI et des forces de l'ordre et des groupes de cybercriminels de premier plan.

Selon Analyst1, la plupart des attaques ont été exécutées en plusieurs étapes. Le FSB « a employé plusieurs individus qui ont mené des attaques de ransomware et sont affiliés à des organisations criminelles basées en Russie », indique le rapport.

L'attaque elle-même porte la marque du SVR, un service de renseignement russe spécialisé dans la surveillance et la collecte de renseignements. L'organisation évite de saboter ses cibles et reste « cachée et présente sur l'infrastructure des victimes », a déclaré DiMaggio. « Ils surveillent les victimes et partagent des informations avec d'autres directions [du renseignement], c'est ce que nous avons vu ici ».

Analyst1 n'attribue pas la montée des ransomwares du crime organisé directement au président russe Vladimir Poutine ou au Kremlin. Mais DiMaggio « croit fermement » que le gouvernement russe s'est entendu avec des gangs de cybercriminels pour espionner les cibles de la défense américaine. « Nous avons de la fumée, une odeur de poudre à canon et une douille de balle », a-t-il déclaré. « Mais nous n'avons pas l'arme pour lier l'activité au Kremlin. Nous voulions l'avoir, mais nous pensons qu'après avoir mené des recherches approfondies, nous avons été aussi près que possible de le prouver sur la base des informations/preuves disponibles aujourd'hui ».

Source : rapport d'Analyst1

Et vous ?

Quelle lecture faites-vous de ce rapport ? Vous semble-t-il crédible ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de brulain
Membre habitué https://www.developpez.com
Le 17/08/2021 à 9:24
Ah les méchants russes qui attaquent les gentils américains !
1  0