IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les acteurs du ransomware Darkside ont cessé leurs activités,
Affirmant que leur infrastructure publique a été perturbée par un organisme d'application de la loi non spécifié

Le , par Stan Adkens

15PARTAGES

11  0 
DarkSide, le groupe de ransomware à l'origine de l'attaque de Colonial Pipeline, a apparemment perdu l'accès à son site Web et à ses serveurs. Jeudi dernier, l'opérateur de DarkSide a écrit dans un forum russe qu'il avait perdu l'accès à « l'infrastructure publique » du groupe, selon la société de cybersécurité Recorded Future, qui a repéré le message du forum. Le site Web contenait auparavant des annonces du groupe criminel de ransomware ainsi que des fichiers de données volées provenant d'autres incidents de ransomware, selon des captures d'écran vues par la société. Le site affiche désormais une page blanche avec "Not Found".

Le FBI a confirmé en début de la semaine dernière que le ransomware DarkSide était à l'origine de la compromission des réseaux de Colonial Pipeline, ce qui a entraîné l'arrêt des activités du pipeline et, par conséquent, des pénuries de carburant et des files d'attente massives dans les stations-service du sud de la côte est. DarkSide est une opération de "ransomware-as-a-service", ce qui signifie que les développeurs du ransomware reçoivent une part des recettes d'autres acteurs cybercriminels, appelés "affiliés", qui le déploient.


Selon une annonce publiée tard dans la nuit de jeudi à vendredi, qui a été examinée par les sociétés de cybersécurité Intel 471 et Recorded Future, le groupe a écrit : « Il y a quelques heures, nous avons perdu l'accès à la partie publique de notre infrastructure ». Les actifs perdus comprennent le blog du groupe, qui est hors service depuis jeudi, son serveur de paiement, qui recevait des fonds en cryptomonnaies de la part des victimes, et le réseau de diffusion de contenu (CDN) des données volées.

Le communiqué de DarkSide précise également que « le service d'assistance à l'hébergement ne fournit aucune information, sauf à la demande des autorités chargées de l'application de la loi ». « Quelques heures après le retrait, les fonds du serveur de paiement (les nôtres et ceux des clients) ont été envoyés à une adresse inconnue », a écrit "Darksupp", l'opérateur de DarkSide, dans le message en langue russe. L’opérateur a déclaré qu'ils allaient délivrer des outils de déchiffrement à tous leurs affiliés pour les cibles qu'ils ont attaquées, et ont promis de compenser toutes les obligations financières en suspens d'ici le 23 mai 2021.

Dans le même post, Darksupp indique que le groupe cesse toutes les opérations de son programme de ransomware, qui était loué à d'autres cybercriminels pour être utilisé. « Au vu de ce qui précède et en raison de la pression exercée par les États-Unis, le programme d'affiliation est fermé. Restez en sécurité et bonne chance », ajoute le post, selon la traduction en anglais de la société de sécurité Intel471.

Ces déclarations suggèrent que les forces de l'ordre ont saisi l'infrastructure informatique du groupe et ses revenus en cryptomonnaies. Le jour même où Darksupp a déclaré avoir perdu l'accès, le président Biden a déclaré que les États-Unis « prendraient des mesures pour perturber » la capacité du groupe de ransomware à opérer. Biden a également appelé la Russie – où les services de renseignement américains pensent que le groupe DarkSide est basé – à traquer les attaquants. « Nous avons été en communication directe avec Moscou au sujet de l'impératif pour les pays responsables de prendre des mesures décisives contre ces réseaux de ransomware », a déclaré le président américain.


DarkSide n'est pas le seul groupe à avoir annoncé qu’il cessait ses activités

Selon Intel471, le 13 mai, un autre groupe RaaS, Babuk, a déclaré avoir remis le code source du ransomware à "une autre équipe", qui continuerait à le développer sous une nouvelle marque. Le groupe s'est toutefois engagé à rester en activité, en continuant à gérer un blog, tout en encourageant les autres gangs de ransomware à passer à un mode de fonctionnement privé. Cette annonce est intervenue après que le groupe a publié les parties restantes des données volées au Metropolitan Police Department du District de Columbia. Ces archives, qui contenaient 250 Go de données, auraient inclus des données personnelles d'agents et de personnel auxiliaire, une base de données remplie d'informations sur des criminels, ainsi que des informations sur des informateurs de la police.

Bien que Babuk se soit engagé à poursuivre ses activités, il pourrait avoir du mal à trouver des affiliés. Peu après les annonces ci-dessus, l'administrateur de l'un des forums de cybercriminalité les plus populaires en langue russe a annoncé l'interdiction immédiate de toute activité liée aux ransomwares sur son forum. Le forum interdit désormais la publicité pour les ransomwares, les ventes, les services de négociation de rançons et les offres similaires. Toutes les annonces qui se trouvent actuellement sur les forums seront supprimées, selon Intel471.

L'attention portée par les États-Unis pourrait également avoir incité l'ensemble du monde cybercriminel à se détourner du groupe DarkSide. « Le 14 mai, plusieurs sources souterraines crédibles ont affirmé que le groupe de ransomware DarkSide n'était plus présent sur le dark web », a écrit la société de cybersécurité Gemini Advisory dans un billet de blog.

« L'un des forums de premier plan sur lequel DarkSide opérait a imposé des sanctions à tous les groupes de ransomware, les bannissant entièrement du forum », ajoute Gemini Advisory. « L'autre forum de premier plan a supprimé le compte Darksupp et deux fils de discussion sur son ransomware ».

Un opérateur connu pour être à l'origine du programme de ransomware REvil a annoncé qu'il cessait de promouvoir son logiciel malveillant sur le forum, supprimant le fil de discussion où le service était annoncé. L'opérateur a déclaré que REvil continuerait à fonctionner sur un autre forum de cybercriminalité bien connu en langue russe, mais il s'attend à ce que ce forum interdise bientôt toute activité liée au ransomware. Si cela devait se produire, l'opérateur a déclaré que REvil deviendrait probablement entièrement privé.

Une annonce des acteurs de Darkside qui pourrait être une "arnaque"

Mandiant Threat Intelligence, la société de cybersécurité qui a travaillé avec Colonial Pipeline pour remettre ses opérations en marche, a déclaré que la déclaration pourrait être une « arnaque de sortie » de DarkSide. « Le post a cité la pression des forces de l'ordre et la pression des États-Unis pour cette décision », a déclaré Kimberly Goody, responsable principale de l'analyse de la criminalité financière chez Mandiant. « Nous n'avons pas validé de manière indépendante ces affirmations et d'autres acteurs spéculent sur le fait qu'il pourrait s'agir d'une arnaque à la sortie ».

Dmitry Smilyanets, un chercheur de Recorded Future, prévient également qu'il pourrait s'agir d'un simple "faux drapeau". Il est tout à fait possible que DarkSide ait délibérément choisi de faire profil bas dans le but de réapparaître des mois plus tard sous un autre nom. « Il est probable que ces opérateurs de ransomwares cherchent davantage à se soustraire aux feux de la rampe qu'à découvrir soudainement leurs erreurs », a écrit Intel471. « Un certain nombre de ces opérateurs vont très probablement opérer dans leurs propres groupes fermés, refaisant surface sous de nouveaux noms et des variantes de ransomware mises à jour ».

Deux experts en cybersécurité ont également averti que si le site était saisi par les autorités américaines, il aurait probablement un avis de saisie sur le site avec des logos des forces de l'ordre. Mais Dave Kennedy, un ancien hacker de la National Security Agency qui est aujourd'hui président et directeur général de la société de sécurité informatique TrustedSec, a déclaré que cela dépendait de l'endroit où résidaient les serveurs du groupe.

« S'ils se trouvaient dans un pays avec lequel nous entretenons des relations, le gouvernement américain travaillerait en collaboration avec l'autre gouvernement étranger pour mettre les serveurs hors ligne », a-t-il déclaré. « Si les pays où se trouvent les serveurs sont plus hostiles, par exemple la Russie, c'est là que se déroulent les cyberopérations offensives, où le piratage des systèmes et leur mise hors service sont une option possible ».

Kennedy estime que la mise hors ligne si soudaine du site est le signe d'un retrait délibéré. « L'administration Biden et les forces de l'ordre se concentrent désormais sur les groupes de ransomware, ce qui les fait trembler », a-t-il déclaré. Il a toutefois fait remarquer que DarkSide n'est pas encore complètement fermé, car les individus à l'origine de ce projet sont toujours en liberté.

Darkside est « relativement nouveau » en termes de groupes de ransomware, selon Allan Liska, architecte de sécurité senior chez Recorded Future, qui a déclaré que le groupe existe depuis août 2020, mais « ils sont assez agressifs » et ont « grandi très rapidement ». « Vous payez des frais pour rejoindre leur service. Et ensuite, l'acteur principal de la menace reçoit une part de chaque paiement réussi de ransomware que vous effectuez », a déclaré Liska. Le groupe a précédemment publié un avis sur le dark web indiquant que sa motivation était « uniquement de faire de l'argent » et affirmant qu'il n'a pas mené l'attaque au nom d'un gouvernement étranger.

Un commentateur a lui aussi écrit : « Je doute qu'ils aient disparu. Ils vont choisir un nouveau nom et poursuivre leurs opérations. La meilleure façon de traiter ces criminels est que leur pays d'accueil les trouve, saisisse leurs richesses et les jette en prison ». Et vous, qu’en pensez-vous ?

Sources : Recorded Future, Intel471

Et vous ?

Que pensez-vous de la déclaration des acteurs de Darkside selon laquelle ils auraient cessé leurs activités ?
Selon certains experts, cette annonce pourrait être une arnaque. Quel est votre avis à ce sujet ?
Pensez-vous que ce sont les forces de l’ordre américaines qui ont saisi les infrastructures publiques de Darkside ?

Voir aussi :

Les pirates informatiques menacent de partager les données des informateurs de la police américaine, après qu'un Russe plaide coupable dans une affaire de rançongiciel visant Tesla
Colonial Pipeline a payé une rançon de près de 5 millions de dollars à des pirates informatiques, pour recevoir un logiciel de déchiffrement qui n'aurait pas servi
Colonial Pipeline cherchait à embaucher un responsable de la cybersécurité, avant que l'attaque par ransomware ne bloque ses activités
L'histoire étrange de l'inventeur du ransomware, la toute première attaque par ransomware a été lancée sur une disquette

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 20/05/2021 à 10:39
Le PDG de Colonial Pipeline explique pourquoi il a payé une rançon de 4,4 millions de dollars à des pirates informatiques,
« C'était la bonne chose à faire pour le pays »
Non! La bonne chose à faire est de ne pas connecter à internet des infrastructures vitales pour le pays.

Je viens d'avoir entre les mains le cahier des charges pour la réalisation de l'automation complète d'une station d'épuration. "Une station d'épuration", c'est à dire une "usine à merde" dont la fonction est de traiter les eaux usés de vos WC.

Et devinez quoi? Il est expressément précisé qu'aucune liaison externe n'est permise!

Pourquoi est-ce que certains prennent des mesures de sécurité pour les "usines à merde" alors que d'autres ne les prennent pas pour une centrale nucléaire???

Est-ce que, avant l'an 2000 et la généralisation d'internet, les pipelines fonctionnaient avec des gentils ouvriers qui livraient le pétrole en se promenant avec un sceau dans chaque main?
4  0 
Avatar de AoCannaille
Membre expert https://www.developpez.com
Le 08/06/2021 à 13:39
Citation Envoyé par Stan Adkens Voir le message
Quel commentaire faites-vous de l’opération du FBI pour saisir de la rançon payée par Coloniale ?
Je dirais juste qu'ils n'ont pas fait ça quand ces ransomware touchaient les SI des hopitaux...
2  0 
Avatar de ormond94470
Membre actif https://www.developpez.com
Le 18/05/2021 à 20:41
Ils ont eu la rançon, plusieurs millions, ils se font oublier quelques temps, tu vis comme un roi quand tu passes du dollars au rouble... Qui va croire leur histoire de pression us...
0  0 
Avatar de marsupial
Expert confirmé https://www.developpez.com
Le 19/05/2021 à 15:46
Business particulièrement lucratif et on s'étonne de voir autant d'attaques chaque jour.
0  0 
Avatar de Jeff_67
Membre éprouvé https://www.developpez.com
Le 19/05/2021 à 16:52
Je pensais naïvement que les pirates qui trempent dans ce genre de business étaient suffisamment malins pour ne pas s'en prendre à des entités ayant leurs entrées dans les agences de renseignement US. Ça n'est visiblement pas le cas.
0  0 
Avatar de smarties
Membre éprouvé https://www.developpez.com
Le 20/05/2021 à 10:10
Déjà, pour augmenter la sécurité au niveau des utilisateurs des bureaux, je mettrais une politique stricte et restreindrais les accès Windows car l'utilisateur lambda fait moyennement attention.
Je trouve aussi les partages réseaux dangereux car le poste client peut modifier directement les fichiers depuis sont poste.

L'idéal serait même d'avoir le majorité des postes utilisateurs Linux.
Peut être une suite type OnlyOffice pour restreindre les moyens d'accès/modification du document (donc via navigateur).
0  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 08/06/2021 à 12:41
Citation Envoyé par Stan Adkens Voir le message

« Les extorqueurs ne verront jamais cet argent », a déclaré Stephanie Hinds, procureur américain par intérim pour le District Nord de la Californie, lors de la conférence de presse au ministère de la Justice lundi. « Les nouvelles
technologies financières qui tentent d'anonymiser les paiements
ne fourniront pas un rideau derrière lequel les criminels seront autorisés à faire les poches des Américains qui travaillent dur ».
Il faut arrêter de propager ce genre d'idées. On n'est pas anonyme en utilisant une blockchain.

Citation Envoyé par Stan Adkens Voir le message

Quel commentaire faites-vous de l’opération du FBI pour saisir de la rançon payée par Coloniale ?
Ah ça quand on s'en prend au pétrole, les états sortent les moyens.

Citation Envoyé par Stan Adkens Voir le message

Le FBI dit avoir été aidé par la "clé privée" d’une adresse spécifique où les bitcoins avaient été transférés. Qu’en pensez-vous ?
Soit ils l'ont récupérée physiquement (backdoor ou attaque physique), soit ils ont les moyens de casser le chiffrement actuel au niveau militaire - ce qui ne serait pas forcément étonnant. La conséquence si la dernière option était avérée par contre ce serait que le chiffrement actuel (HTTPS, VPN, etc) ne vaudrait plus tripette...

Une dernière possibilité (mais là ce serait gros) ce serait qu'ils aient organisé l'attaque ou infiltré le groupe qui l'a perpétrée, pour blâmer d'autres pays, ce qui expliquerait qu'ils aient des clés privées.

Citation Envoyé par Stan Adkens Voir le message

Le FBI possède-t-il un moyen secret d'infiltrer les portefeuilles bitcoin et de récupérer leur contenu, selon vous ?
0  0