Vous êtes perdus face à la profusion des rançongiciels à la dénomination parfois bien mystérieuse ? Et bien, c’est justement l’effet recherché par les cybercriminels. Le géant de la cybersécurité Mandiant, récemment racheté par Google, vient à ce sujet de publier une note très instructive sur les manœuvres d’un groupe de cybercriminels fortement suspecté d’être apparenté à Evil Corp. département du Trésor américain, ce groupe tente de brouiller les pistes en jonglant d’un rançongiciel à un autre.
Bonne nouvelle, les sanctions annoncées en décembre 2019 par l’administration américaine contre Evil Corp, soupçonnés d’avoir amassé au moins 100 millions de dollars avec son malware bancaire Dridex, ont donc eu un effet. C’était alors “le groupe de cybercriminels le plus dangereux au monde”, estimait la police britannique. Bien que les poursuites américaines n’aient pas entraîné d’arrestation, elles ont visiblement bien coupé le robinet à cash des cybercriminels, en interdisant à des entreprises américaines « de s’engager dans des transactions » avec les mis en cause.
D’un rançongiciel à un autre
Résultat : depuis l’annonce des sanctions, les cybercriminels affiliés à Evil Corp “semblent avoir conservé changé de rançongiciel”, écrit Mandiant, une observation également partagée par Sentinel One. Les cybercriminels auraient ainsi jonglé avec les rançongiciels Bitpaymer, Doppelpaymer, WastedLocker, Hades, Phoenix Cryptolocker, PayloadBin ou encore Macaw. Comme le rappelle Sentinel One, certains de ces programmes malveillants ont des « similitudes dans le code ou leur configuration » prétendent penser que les auteurs sont les mêmes.
Autant de variantes désormais abandonnées par ces cybercriminels pour l’utilisation, comme simple affilié, du rançongiciel LockBit, un logiciel malveillant accessible sous forme de franchise. La manœuvre peut au premier abord surprendre. Pourquoi un gang aussi pointu accepterait-il de devenir un simple franchisé ? Au regard des efforts de ces cybercriminels pour dissimuler leurs liens avec Evil Corp, il s’agit au contraire « d’une évolution naturelle », analyse Mandiant. Pour la firme, cette utilisation d’un rançongiciel a prouvé leur permet de se fondre dans une activité malveillante plus large.
Vers d’autres opérations de relooking
Il peut également être plus louable de louer l’accès à un rançongiciel que d’en développer un. A moins, s’interroge Mandiant, que les cybercriminels ne cherchent ainsi à se libérer du temps pour développer un nouveau rançongiciel à partir de zéro. Ces tentatives pour brouiller les pistes ont un air de famille avec ce qui vient d’être observé avec les cybercriminels de Conti, qui traînent comme un boulet leur soutien public à la Russie après l’invasion de l’Ukraine. Il est d’ailleurs probable que d’autres exemples émergent dans les mois à venir.
Comme l’indique le Wall Street Journal, les sanctions financières contre la Fédération de Russie déployées depuis l’entrée en guerre ont produit les paiements de rançons plus risquées, cette industrie criminelle étant notoirement en partie dans les mains de cybercriminels russophones. Selon un avocat interrogé par le quotidien des affaires, Edward McNicholas, il est ainsi devenu “beaucoup plus difficile” de s’assurer que les paiements de rançons ne finissent pas dans les poches d’entités russes sanctionnées. Certes, ce phénomène n’a pas encore été observé en France par ce négociateur interrogé par l’Usine digitale. Mais à terme cela devrait cependant bien inciter les groupes de cybercriminels déjà apparentés à la Russie à se lancer dans des opérations similaires de relooking.
