Afin d'éviter les sanctions américaines qui empêchent ses victimes de payer ses demandes de rançon, le groupe de cybercriminels Evil Corp a publié un nouveau logiciel de type ransomware baptisé Macaw Locker. Le groupe de cybercriminels supposément basé en Russie, qui est aussi connu sous le nom d'Indrik Spider ou encore de Dridex, est impliqué dans des activités de cybercriminalité depuis 2007, mais principalement en tant qu'affilié à d'autres organisations. Au fil du temps, le groupe a commencé à se concentrer sur ses propres attaques en créant et en distribuant un cheval de Troie bancaire appelé Dridex dans les attaques de phishing.
En décembre 2019, l'Office of Foreign Assets Control (OFAC) du département du Trésor américain a pris des mesures contre Evil Corp, en particulier pour faire suite à son utilisation de Dridex : « Le Trésor sanctionne Evil Corp dans le cadre d'une action radicale contre l'une des organisations cybercriminelles les plus prolifiques au monde ». L'OFAC a noté que :
« Evil Corp a utilisé le malware Dridex pour infecter des ordinateurs et récupérer les identifiants de connexion de centaines de banques et d'institutions financières dans plus de 40 pays, causant plus de 100 millions de dollars de vols. Ce logiciel malveillant a causé des millions de dollars de dommages aux institutions financières américaines et internationales et à leurs clients ».
Parallèlement à l'action de l'OFAC, le ministère de la Justice a inculpé Maksim Yakubets et Igor Turashev, deux hackers de nationalité russe accusés d'être à la tête d'Evil Corp. Déterminé à mettre les deux hackers russes derrière les barreaux, le ministère de la Justice des États-Unis a fait savoir dans un communiqué qu’il allait offrir une récompense pouvant aller jusqu’à 5 millions de dollars pour toute information menant à leur arrestation, une prime record dans le secteur de la cybercriminalité.
Evil Corp tente de contourner cette mesure pour inciter les cibles à payer
Alors que les attaques de ransomware devenaient de plus en plus rentables, Evil Corp a lancé une opération appelée BitPaymer, livrée via le malware Dridex aux réseaux d'entreprise compromis. L'activité criminelle du groupe de piratage l'a finalement conduit à être sanctionné par le gouvernement américain en 2019. En raison de ces sanctions, les sociétés de négociation de rançongiciels n'ont plus facilité le paiement de rançons pour les opérations attribuées à Evil Corp.
Pour contourner les sanctions américaines, Evil Corp a commencé à renommer ses opérations de ransomware sous différents noms tels que WastedLocker, Hades, Phoenix CryptoLocker et PayLoadBin.
DoppelPaymer, qui a récemment été rebaptisé Grief, est une autre famille de ransomwares qui serait affiliée à Evil Corp, selon les experts en cybersécurité.
Vient alors Macaw Locker
Olympus et Sinclair Broadcast Group ont vu leurs opérations gravement perturbées par des attaques de ransomware il y a quelques jours.
Suite à l'attaque des chaînes de télévision Sinclair, les services Active Directory auraient été arrêtés et l'accès aux ressources du domaine du réseau aurait été bloqué. L'attaque a également touché divers actifs de l'entreprise, notamment les systèmes de salle de rédaction, la diffusion et les serveurs de messagerie.
Cette semaine, il a été découvert que les deux attaques étaient menées par un nouveau ransomware connu sous le nom de Macaw Locker.
Lors d'une conversation avec le directeur technique d'Emsisoft, Fabian Wosar, les médias ont appris que, sur la base d'une analyse de code, Macaw Locker est la dernière nouvelle image de marque de la famille de ransomwares d'Evil Corp. Des sources au sein du secteur de la cybersécurité ont également indiqué que les deux seules victimes connues de Macaw Locker sont Sinclair et Olympus.
Ces sources ont partagé les pages privées des victimes de Macaw Locker concernant deux attaques, où les cybercriminels exigent une rançon de 450 bitcoins, soit environ 28 millions de dollars, pour redonner l'accès aux fichiers et 40 millions de dollars en bitcoin pour la seconde victime. Les sources n'ont pas précisé quelle entreprise est associée à chaque demande de rançon.
Le ransomware Macaw Locker chiffre les fichiers des victimes et ajoute l'extension .macaw au nom du fichier lors de la conduite d'attaques.
Lors du chiffrement des fichiers, le ransomware créera également des notes de rançon dans chaque dossier nommé macaw_recover.txt. Pour chaque attaque, la demande de rançon contient une page de négociation de victime unique sur le site Tor de Macaw Locker et un identifiant de déchiffrement associé, ou identifiant de campagne, comme indiqué ci-dessous.
Le site de négociation sur le dark web des cybercriminels contient une brève introduction sur ce qui est arrivé à la victime, un outil pour déchiffrer trois fichiers gratuitement et une boîte de discussion pour négocier avec les attaquants.
Cependant, maintenant que Macaw Locker a été exposé comme étant une variante d'Evil Corp, nous verrons probablement les cybercriminels rebaptiser leur ransomware à nouveau.
Des menaces plus généralisées
Le FBI et d'autres organismes d'application de la loi ont tenté de décourager les entreprises victimes des cyberattaques de payer leurs extorqueurs, en faisant remarquer que cela ne fait que contribuer à financer d'autres attaques. Mais dans l’optique de reprendre rapidement leurs activités habituelles, un grand nombre de victimes préfèrent payer. En outre, les compagnies d'assurance facilitent souvent les paiements, car le montant demandé est finalement inférieur à ce que l'assureur pourrait avoir à payer pour couvrir le coût des désagréments subis par l'entreprise touchée pendant des jours ou des semaines, selon Krebs.
Mais ce raccourci ne sera plus très pratique pour ces entreprises aux États-Unis.
En effet, les entreprises et les organisations (privées ou publiques) américaines qui sont victimes d'attaques paralysantes aux ransomwares doivent désormais faire face à de nouvelles inquiétudes : le ministère américain des Finances leur infligera de lourdes amendes s'ils doivent verser des rançons aux cyberacteurs pour récupérer leurs données. Un avis publié le 1er octobre 2020 par les fonctionnaires du département du Trésor a officialisé cette sanction.
Il est indiqué que les paiements effectués à des entités spécifiques ou à toute entité dans certains pays (en particulier, ceux ayant un « lien de sanction » désigné) pourraient soumettre le payeur à des sanctions financières prélevées par l'Office of Foreign Assets Control (OFAC). L'interdiction s'applique non seulement à l’organisation qui est infectée, mais aussi à toutes les sociétés ou entrepreneurs avec lesquels l’organisation piratée s'engage, y compris ceux qui fournissent une assurance, une expertise numérique et une réponse aux incidents, ainsi que tous les services financiers qui aident à faciliter ou à traiter les paiements de rançon.
L'OFAC du département du Trésor a déclaré dans son avis que « les entreprises qui facilitent le paiement de rançons aux cyberacteurs au nom des victimes, y compris les institutions financières, les compagnies d'assurance et les entreprises impliquées dans la criminalistique numérique et la réponse aux incidents, non seulement encouragent les futures demandes de paiement de rançons, mais risquent également de violer les règlements de l'OFAC »
Les pertes financières dues aux activités de cybercriminalité et aux attaques de ransomwares en particulier ont monté en flèche ces dernières années. Selon un rapport publié l’année dernière par l’Internet Crime Complaint Center du FBI, les gains totaux de la cybercriminalité avaient grimpé en flèche à 2,7 milliards de dollars en 2018. Le département du Trésor a imposé des sanctions économiques à plusieurs cybercriminels et groupes de cybercriminalité, en gelant effectivement tous les biens et intérêts de ces personnes (soumises à la juridiction américaine) et faisant des transactions avec elles un crime.
Il n’est pas définitivement interdit de payer des rançons
Selon Fabian Wosar, directeur technique de la société de sécurité informatique Emsisoft, les politiques du Trésor ne sont pas nouvelles et qu'elles constituent principalement un avertissement pour les entreprises victimes qui ne travaillent peut-être pas déjà avec les forces de l'ordre ou des sociétés de sécurité tierces. Wosar a déclaré que les entreprises qui aident les victimes d’attaques de ransomware à négocier des paiements moins élevés et à faciliter l'échange financier sont déjà conscientes des risques juridiques liés aux violations de l'OFAC, et refusent généralement les clients qui sont touchés par certaines souches de ransomware.
« Selon mon expérience, l'OFAC et la cyber-assurance sont en communication constante avec leurs négociateurs sous contrat », a déclaré Wosar. « Il y a même souvent des processus de compensation en place pour vérifier le risque que certains paiements violent l'OFAC ». Dans ce sens, l'OFAC a déclaré que le degré de conscience d'une personne ou d'une entreprise sur la conduite en question est un facteur que l'agence peut prendre en compte dans l'évaluation des sanctions civiles.
« Selon les directives d'application de l'OFAC, l'OFAC considérera également que le rapport complet, opportun et spontané d'une entreprise sur une attaque de ransomware à l'intention des forces de l'ordre est un facteur atténuant important pour déterminer un résultat approprié en matière d'application si la situation est ensuite déterminée comme ayant un lien avec les sanctions », ont écrit les responsables de l’organisme. « L'OFAC considérera également que la coopération totale et opportune d'une entreprise avec les services de répression, tant pendant qu'après une attaque de ransomware, est un facteur atténuant important lors de l'évaluation d'un résultat possible en matière d'application de la loi ».
L'avis a également averti que les entreprises de cybersécurité pourraient devoir s'enregistrer comme entreprises de services financiers si elles aident à effectuer des paiements de rançon. Cela imposerait une nouvelle obligation de signalement à un secteur auparavant peu réglementé de l'industrie de la cybersécurité.
80 % des responsables des systèmes de sécurité informatique envisageront de payer une rançon pour récupérer leurs données
Si le paiement de la rançon reste controversé et fait l'objet de nombreux débats, les RSSI sont également préoccupés par l'impact financier du rétablissement des opérations commerciales. Cela est compréhensible lorsque le coût total d'une attaque, y compris l'atténuation, la récupération et les paiements éventuels, peut se chiffrer en millions.
Une enquête menée par CISOs Connect, AimPoint Group et W2 Communications auprès de plus de 250 responsables des systèmes d'information révèle que plus de la moitié d'entre eux ont été victimes d'un ransomware au cours de l'année écoulée et que 69 % ont déclaré qu'il était probable qu'ils soient attaqués avec succès au moins une fois au cours de l'année prochaine. Selon les personnes interrogées, il y a 20 % de chances de payer plus de 5 millions de dollars et 5 % de chances que l'impact soit supérieur à 50 millions de dollars.
Sources : US Department of Treasury, Leanne DeRosa
Et vous ?
Quelle lecture faites-vous de cette situation ?
Pour ou contre payer les rançons pour accéder à ce système ? Dans quelle mesure ?
Que pensez-vous de la sanction prévue pour ceux qui paient ou facilitent le paiement des rançons aux USA ?
Cela contribuera-t-il, selon vous, à affaiblir ce marché florissant ?
Si oui, qui devrait être tenu pour responsable si le prix à payer devient trop lourd (perte de la confiance des clients, arrêt des activités sans possibilité de reprise, etc.) ? L'État devrait-il engager sa responsabilité lorsqu'il exige de ne pas payer les cybercriminels pour pouvoir reprendre ses activités ?
Des risques potentiels d'abus dans un tel cas de figure ?
Evil Corp demande 68 millions de dollars à deux organisations après attaque au ransomware
Baptisé Macaw Locker pour éviter les sanctions américaines empêchant les victimes de payer
Evil Corp demande 68 millions de dollars à deux organisations après attaque au ransomware
Baptisé Macaw Locker pour éviter les sanctions américaines empêchant les victimes de payer
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !