Ransomware #1 : la pêche au gros
Rétrospective de l'industrialisation du cyber-crime. En guest-star, le cyber-gang REvil.
En l'espace de 35 ans, les « ransomware » sont passés de niche du cybercrime à une industrie complexe ayant généré 1,1 milliard de paiements de rançon en 2023. Comment en est-on arrivé là ? Premier épisode d'une série sur les traces de la branche de la cybercriminalité la plus active aujourd'hui.
La première souche de « ransomware » daterait de 1989. Elle circulait sur des disquettes, les victimes devant envoyer 189$ à une boite postale au Panama pour récupérer l'usage de leur ordinateur. Il n'est pas dit combien ce premier gang a extorqué de cette façon, mais autant dire que le système n'était pas encore tout à fait au point. Durant les années qui suivent, de nouvelles souches émergent mais cette tendance du cybercrime reste une niche : l'époque est au « carding », le trafic de numéros de cartes bleues volées.
C'est aux alentours des années 2010 que vont apparaitre les premiers signes de la vague à venir. C'est à ce moment qu'apparait la crypto-monnaie décentralisée Bitcoin. Jusqu'à lors, les cybercriminels devaient jouer avec différents systèmes de paiements, plus ou moins fiables, pour récupérer leurs gains. Très vite, Bitcoin est largement adopté par la scène.
C'est également à cette époque que, Evgeniy Bogachev, un parrain du milieu, annonce se ranger. Il a été à l'origine du malware bancaire « GameOver Zeus », un des plus actifs de son époque, mais il est tombé dans le viseur des autorités américaines. En cadeau de départ, il publie la version 2.1 de son malware, qui embarque une clef de chiffrement par « utilisateur ». En clair, Bogachev se met en retrait et devient fournisseur de service. Il loue son malware et les outils à d'autres groupes qui peuvent dès lors l'utiliser. Il invente ainsi le modèle dont la déclinaison « Ransomware-as-a-service » va bientôt s'imposer.
La dernière pierre des fondations est posée avec l'apparition de CryptoLocker, une souche révolutionnaire de ransomware utilisant des formes avancées de chiffrement. Celle-ci est vite remarquée par les opérateurs du réseau « Gameover Zeus ». Ces derniers opèrent une infrastructure pilotant plusieurs millions d'ordinateurs infectés (nommé aussi « Botnet »). En quelques clics, les ordinateurs infectés vont se mettre à installer CryptoLocker et à exiger des rançons. Il fallait stopper l'hémorragie. En 2014, sous le nom d'Opération Tovar, le botnet Zeus est démantelé par un consortium incluant FBI, Interpol et plusieurs entreprises de cybersécurité. Les clefs de déchiffrement de CryptoLocker sont rendues publiques. Mais le concept a fait ses preuves, le modèle ne demande qu'à être reproduit.
GrandCrab ou « l'araignée chapardeuse »
Pour cet épisode, nous avons choisi de raconter l'histoire d'un cyber-gang bien connu, le groupe REvil. Mais pour cela, il nous faudra commencer par son ancêtre : GrandCrab. Un groupe qui durant sa brève existence marquera son époque. Et qui, contrairement à d'autres s'en tirera sans y laisser des plumes.
GrandCrab est repéré au début de l'année 2018 par l'entreprise LMNTRX. Au départ, le malware a des problèmes : si le réseau est surveillé au moment de l'infection il est possible de capturer la clef de chiffrement, rendant l'attaque inefficace. Mais l'équipe est sérieuse et va améliorer sa souche virale pas à pas. Parfois, un antivirus annonce détecter le malware et voici que sort, dans la foulée, une nouvelle version plus discrète. Parfois même, les hackers se vengent en publiant une faille dans ladite solution de sécurité.
Les experts qui se penchent sur le code source y trouvent des références à des techniques publiées par la communauté de la cybersécurité. Et l'équipe n'est pas rancunière. Lorsqu'un coup de filet a lieu en Roumanie, des serveurs saisis et qu'un outil de déchiffrement est publié par l'entreprise BitDefender, les hackers commentent : « Bon travail! ».
L'infection commence souvent par un email suspect. Un « Je tenais à dire ce que je ressent pour toi » reçu un jour de Saint-Valentin, contenant une étrange pièce jointe. Ou le nouveau plan des issues de secours des bureaux, reçu au format Word. Parfois, c'est une confirmation de paiement à télécharger sur la plateforme WeTransfer. Cliquez et vous voilà infecté.
Derrière la marque GrandCrab, différents groupes affiliés sont à la manœuvre. Dès sa création, GrandCrab a adopté le modèle de « Ransomware-As-A-Service ». Le cybergang améliore sa souche virale, maintient l'infrastructure et fournit un support en ligne pour les « clients », entendez victimes. Les groupes affiliés, eux, sont en charge de réaliser les attaques, de déployer le malware et d'extraire les données. Environ 30 à 40% des gains négociés sont alors reversés à GrandCrab.
Le gang va également adopter une nouvelle tendance qui va faire la fortune des groupes cyber-criminels, le « Big Game Hunting » (ou « pêche au gros » ). Au lieu de penser leurs attaques ordinateur par ordinateur, les groupes vont désormais viser les réseaux d'entreprises dans leur ensemble et négocier globalement la rançon. C'est depuis lors que les montants des rançons crèvent, mois après mois, les plafonds.
En juillet 2019, un an après sa création, le groupe possède 40% des parts de marché. C'est alors, en ces termes, qu'ils choisissent de se retirer :
« Chacun de nous a gagné plus de 150 millions de dollars en un an. L'argent a été blanchi et investi dans divers projets. Cela a été un plaisir de travailler avec vous. Mais comme on dit, toute chose a une fin. Nous nous mettons en retraire bien méritée. Nous sommes la preuve vivante qu'on peut faire le mal et s'en sortir sans problèmes, qu'on peut gagner l'argent d'une vie en une année. »
Mais l'histoire ne va pas en rester là. Il est dit, qu'à cette nouvelle, GrandCrab aurait été discrètement contacté par un de ses groupes de hackers affiliés pour racheter leur logiciel malveillant. Un accord aurait été trouvé. Accord qui lancera un des plus fameux cybergang.
La demeure du mal
La première attaque de REvil a lieu fin avril 2019, un mois avant que GrandCrab ne cesse ses opérations. Les pirates vont utiliser une faille encore inconnue, ou « 0 day », sur un produit de la société Oracle. Des failles rares, prisées par les pirates et les gouvernements.
L'utilisation de ce joyau va annoncer la couleur et les futures attaques de haut vol. Et dès le début, le groupe montre son appétit pour les médias. Contactés par le chercheur Tomas Meskauskas, ce dernier leur annonce que leur malware a été nommé Sodinokibi : « Ce n'est pas un très beau nom, peut-être voudriez-vous en utiliser un autre ? » L'opérateur, derrière sa messagerie sécurisée, demande quelques jours et revient avec ce nom : « REvil ».
Le gang va rapidement démontrer sa capacité à innover. Il est le premier à mettre en place la tactique de double extorsion, tactique rapidement adoptée par l'ensemble de la scène ransomware. Avant de chiffrer le réseau de la victime, les pirates exfiltrent les données qui sont vendues au plus offrant si la rançon n'est pas payée. La tactique évoluera vers la diffusion publique des données, un moyen de mettre la pression en embarrassant médiatiquement la victime.
En juin 2019, REvil compromet un fournisseur de service internet, une entreprise gérant le réseau d'autres organisations. La tactique avait déjà été observée chez GrandCrab au début de l'année. Les pirates prennent le contrôle du réseau central et déploient leur ransomware chez tous les clients de l'entreprise. Vingt-trois réseaux de gouvernements locaux texans sont touchés ainsi que des établissements de soin dentaire.
Deux mois plus tard, les pirates compromettent la principale banque chilienne BancoEstado. Les employés reçoivent des mails taillés sur mesure les incitants à ouvrir un fichier malicieux. La banque sera obligée de fermer ses opérations le temps de récupérer de l'attaque.
Puis REvil se tourne vers l'Asie et s'adjoint les services de RIG, un « exploit kit ». Cette nouvelle méthode d'infection s'appuie sur des sites Web piégés et attaquant les navigateurs des visiteurs pour déployer le ransomware. En décembre, le gang rançonne Travelex, une entreprise de change de devises. L'histoire deviendra un cas d'école de l'échec d'une communication de crise. Travelex ne rendra pas public l'incident, mentant à ses clients et partenaires tandis que REvil révélait les détails de l'attaque à des journalistes de la BBC. Travelex payera finalement 2,3 millions et finira, un an plus tard, la clef sous la porte.
Dès sa création, REvil recrute cinq équipes d'affiliées sur les mêmes forums du DarkWeb où publiait GrandCrab. Le gang entend s'adjoindre les services des meilleures équipes : « Nous sommes intéressées par des professionnels ». Pour prouver leur sérieux, le gang dépose 130.000 dollars en Bitcoin sur le système de paiement du forum. Les candidats doivent parler russe et sont interrogés par plusieurs membres du gang. Parmi les questions, des références aux traditions locales et aux mythes des anciens pays satellites russes, pour détecter les potentielles infiltrations. En 2020, après une série de revers, le groupe va étendre ses opérations et lancer une nouvelle campagne de recrutement en déposant plus d'un million de dollars sur divers forums de l'underground cybercriminel.
Et le travail chez REvil, ça donne quoi ? Un affilié du groupe donnera un interview au média Bleeping Computer. Voici comment il décrit son travail :
« Cela prend énormément de temps. Mais si tu gagnes assez, tu peux sortir du jeu. Fatigue chronique, burnout, deadlines - ces mots de la vie des travailleurs de bureau sont vrais pour nous aussi. D'un côté, tu as tout le temps peur, tu te lèves et tu te couches avec. Tu mets une capuche au magasin, tu te caches même de ta femme. Je suis plus jeune que vous, mais j'ai déjà assez gagné. Pas des millions, mais de quoi vivre en paix et ne plus travailler pour le reste de ma vie. Mais comment quitter un boulot qui gagne tant, dans un pays avec si peu d'opportunités ? »
Un membre de l'équipe de développement, plus proche du cercle central, donnera également un interview à la chaine « Russian OSINT ». Concernant les risques de son métier, il répond :
« Quand tu es sérieusement dans la sphère de l'extorsion..., je ne serais pas surpris si je suis tué. Je comprend cela, personne dans mon secteur d'activité ne voyagera en Europe et aux États-Unis au vu des chances d'être arrêté. Ce n'est pas une option. Nous créons de sérieux problèmes et nous sommes inatteignables. »
L'avenir allait démentir ses propos.
La chute du côté obscur
REvil est, en 2020, un des cyber-gang les plus efficace de la scène. Mais sont-ils devenus trop confiants ? Le gang va se mêler de géopolitique et il n'y survivra pas longtemps.
La même année, un nouveau gang est apparu, plein d'ambitions. « Darkside » fait parler de lui avec son site de presse et ses annonces de dons aux organisations caritatives. Le gang semble proche de REvil, les malwares partageant certaines similarités. REvil aurait même posté des pubs pour Darkside sur les forums underground. Mais ces derniers vont faire le cyber-pas de trop.
Le 7 mai 2021, DarkSide annonce avoir compromis « Colonial Pipeline », l'entreprise américaine chargée de distribuer l'essence sur la côte Est des États-Unis. Les opérations doivent s'arrêter et des américains se retrouvent incapable de faire le plein à la pompe. L'évènement est qualifié d'agression contre la sécurité nationale et Biden promet poursuivre les auteurs de l'attaque. Sur le site de Darkside, une déclaration apparait « Nous sommes apolitiques, nous ne sommes pas liés à un gouvernement. [...] Notre but est de faire de l'argent, pas de créer des problèmes pour la société ». Deux jours plus tard, l'infrastructure de Darkside se déconnecte et le gang se fond dans la nature. Dans la foulée, le département d'état annonce avoir saisi 63,7 bitcoins au groupe. Sur les forums underground, REvil se voit contraint de défendre Darkside auprès des affiliés qui ont été ainsi lésés.
Puis, le 30 mai, « JBS USA Holdings » est attaqué. Ce groupe brésilien fournit un cinquième de la viande consommée aux US et doit arrêter les opérations. Cette fois-ci, plus de viande aux rayons. Derrière l'attaque, le groupe REvil. Quand Joe Biden rencontre Poutine à Genève, quelques jours plus tard, le sujet des ransomwares a été mis en haut de la pile. REvil ne s'en voit pas refroidi. Le groupe publie une déclaration sur la chaine « Russia OSINT » s'adressant directement aux américains : « Nous n'avons pas peur d'être étiquetés groupe cyber-terroristes. À la vue de l'attitude et des menaces des US après l'attaque sur JBS, nous redéclarons toutes cibles aux US légitimes ». Le 2 juillet, le groupe attaque Kaseya, un fournisseur de service informatique et REvil diffuse son ransomware sur 1.500 clients de l'entreprise à travers le monde. Le gouvernement américain déclare avoir bien noté.
Le 16 octobre, un intrus prend discrètement le contrôle de l'infrastructure du gang. Ces derniers, paranoïaques, repèrent l'intrusion. Ils donnent l'alerte par un dernier post sur les forums et déconnectent leur infrastructure. Le 8 novembre, les États-Unis accusent deux hommes, un ukrainien et un russe, d'être derrière l'attaque de Kaseya. L'un est arrêtée en Pologne et attend son extradition.
Finalement, début 2022, les autorités russes conduisent des raids à Moscou, Saint-Pétersbourg et dans les régions de Leningrad et de Lipetsk. 14 personnes sont interpellées et sont cette fois-ci soupçonnées de faire partie des membres clefs du groupe. Le message est clair : si les groupes de ransomware sont tolérés, ils ne doivent pas s'immiscer dans la politique.
L'histoire connue du gang REvil s'arrête ici.
