Suite à différentes attaques des infrastructures primordiales aux États-Unis par rançongiciels, plusieurs opérations de piratage RAAS ont cessé de faire parler d’elles : leurs offensives avaient attiré l’attention de nombreux gangs de cyber-pirates dont certains ont répondu soit par l’installation de nouvelles restrictions sur le type de mécanismes que leurs logiciels malveillants pouvaient cibler, soit par une cessation d’activité définitive et le rendu des clefs de chiffrement permettant à leurs victimes de retrouver leurs données, soit encore en disparaissant tout simplement d’internet.
Après avoir lancé une cyberattaque par rançongiciel contre Colonial Pipeline en mai 2021, le groupe de pirates DarkSide a ainsi disparu de la toile. Le gang très actif qui opérait dans le même genre, REvil, s’est lui aussi volatilisé sans un mot ; il s’était fait connaître pour sa cyberattaque de JBS Foods, qui avait provoqué la fermeture temporaire de deux usines de préparation de viande aux États-Unis, et plus récemment pour son offensive contre Kaseya et 60 de ses clients, la plupart fournisseurs de services, ce qui entraîna des dommages pour les 1500 entreprises affiliées en aval. Peu après ces attaques, le groupe a disparu sans laisser de trace.
Puis il y eut Avaddon, un autre groupe cyber-pirate très prolifique : après la cyberattaque de Colonial Pipeline par DarkSide, les gérants d’Avaddon et de REvil ont annoncé qu’ils ne s’en prendraient plus aux infrastructures essentielles ni aux services de soin. Avaddon donna ainsi les clefs de chiffrement permettant à 2 934 victimes de se rétablir avant de, semble-t-il, se retirer du monde des malfrats au rançongiciel. Les forums de cyber-pirates populaires ont annoncé leur décision de s’éloigner du rançongiciel, allant jusqu’à bannir leurs auteurs desdits forums.
Après ces assauts sur les infrastructures primordiales, le gouvernement des États-Unis a pris plusieurs mesures visant à démanteler les gangs au rançongiciel de manière plus efficace et a demandé à la Russie d’agir de son côté pour arrêter les cybercriminels opérant sur son territoire. Le torchon brûle, et les opérations RAAS sont maintenant sous étroite surveillance.
L’intervention des agences gouvernementales dans le démantèlement de ces opérations RAAS a fait l’objet d’importantes spéculations, aucune n’ayant déclaré officiellement son implication dans le processus ; il n’y a donc aucun moyen de savoir si le gouvernement a pris ou non des mesures en ce sens. Il est possible que ce soit fait dans le plus grand secret.
S’il serait rassurant de considérer comme définitives ces cessations d’activité des gangs au rançongiciels, il faut pourtant dire que c’est très improbable : il est en effet fréquent pour ces cybercriminels RAAS de se faire oublier pour un temps après des attaques d’une telle ampleur, surtout maintenant que les gouvernements concentrent toute leur attention à combattre les rançongiciels. On peut donc penser que ces cyber-pirates se contentent que faire une pause avant un grand retour ; ce serait encore plus vrai pour les cyber-pirates champions du RAAS. Il est d’ailleurs possible qu’ils aient déjà recommencé leurs activités.
Deux nouveaux groupes RAAS ont fait leur apparition ce mois-ci : Haron et BlackMatter, que les compagnies enquêtant contre la cybercriminalité ont déjà dans le collimateur. Plusieurs ont d’ailleurs rapporté cette semaine avoir identifié des connexions avec des opérations RAAS qui s’étaient fait oublier ces derniers temps : Avaddon, REvil et DarkSide.
Si aucune preuve tangible n’a été apportée quant à situation exacte, on a observé de nombreuses similarités laissant à penser que soit les groupes Avaddon, REvil et DarkSide se sont reformés, soit les filiales de ces cyber-pirates ont pris leur indépendance et passent à l’action, soit quelques membres des opérations RAAS en cessation d’activité ont rejoint Haron et BlackMatter à plus ou moins forte implication.
Malgré l’interdiction des forums de faire la promotion des opérations RAAS, BlackMatter a fait sa publicité sur des forums cybercriminels de langue russe, contournant la règle en ne mentionnant jamais le terme d’opération RAAS. Un utilisateur nommé « BlackMatter » a créé un compte le 19 juillet sur deux forums cybercriminels, XXS et Exploit, pour demander de l’aide : il cherchait à accéder aux réseaux d’entreprises américaines, britanniques, australiennes ou canadiennes générant plus de 100 millions de dollars de revenu annuel. Ils ont aussi mentionné qu’ils n’achèteraient pas d’accès aux institutions nationales ni au secteur de la santé, ce qu’avaient déclaré REvil et Avaddon après la cyberattaque de Colonial Pipeline.
Le cyber-pirate BlackMatter a aussi créé un compte Escrow (utilisé normalement en cas de litige lié à un paiement) et y a déposé 120 000 dollars, une somme non négligeable. Le groupe offre entre 3 000 et 100 000 dollars en échange d’un code d’accès ou d’une part de rançon générée en échange d’un accès. Les agents BlackMatter déclarent que leurs opérations incluent les meilleurs éléments de DarkSide, REvil et LockBit, trois filiales qui, selon les estimations, auraient agi depuis la Russie.
Les entreprises spécialisées en cyber-sécurité ont observé des points communs entre BlackMatter, REvil et DarkSide : Recorded Future a ainsi déclaré que BlackMatter succédait à DarkSide et REvil, mais sans preuve solide. Par exemple, BlackMatter ressemble beaucoup à BlackLivesMatter, nom figurant dans la base de registre Windows et réutilisé frauduleusement par REvil. Mandiant rapporte avoir trouvé la preuve établissant qu’au moins un membre de l’opération DarkSide était impliqué dans BlackMatter, même s’il est possible que cet individu soit un simple adhérant ayant quitté le navire quand BlackMatter s’est fait oublier.
S2W Lab a découvert des similarités entre les rançongiciels Haron et Avaddon, en particulier dans un texte copié-collé à de nombreuses reprises, reprenant les mêmes termes dans la forme et le fond sur divers sites commerçants, les mêmes structures de violation des données et des segments JavaScript identiques dans les espaces de chat. Toutefois, si le cyber-groupe Avaddon a développé son propre rançongiciel, Haron opère en se basant sur le rançongiciel Thanos.
Ces similitudes ne sont peut-être qu’une coïncidence ; il est aussi possible que les cyber-pirates aient gagné du temps en volant le contenu et la codification qui ont été créés par d’autres. Il y a des différences notables entre les deux rançongiciels sur plusieurs points, et aucune preuve n’atteste à ce jour qu’Avaddon et Haron sont le même cybercriminel.
Les enquêteurs poursuivent leurs investigations sur les nouveaux groupes, mais qu’importe l’identité du cyber-pirate, le but semble être toujours le même : les deux rançongiciels ciblent les compagnies à très gros budget, et si les opérations RAAS qui ont cessé de faire parler d’elles ne refont pas surface, il y aura de nombreuses filiales en quête d’une nouvelle opération RAAS à rejoindre.
Ces deux opérations RAAS pourraient donc totalement combler le vide laissé par tous les gangs d’escrocs dans le style d’Avaddon, REvil et DarkSide, et les attaques par rançongiciel se poursuivraient au niveau de celles menées en mai 2021. Ce qui est certain, c’est que la menace du rançongiciel est loin de disparaître.