Cyberattaque : deux rançongiciels pour un seul attaquant ?
Récemment, une même victime a été revendiquée chez LockBit 3.0 ainsi que chez Trigona. Plusieurs l’ont été chez Snatch, de même que chez Nokoyama. Que s’est-il passé ?
Une cyberattaque contre le Britannique Marshall Construction a été revendiquée sur le site vitrine de LockBit 3.0 le 7 mai, avant d’apparaître sur celui de Trigona le 26 mai. Mais sur celui-ci, la revendication était en réalité déjà prête le 10 mai. Plus troublant encore, la revendication, chez LockBit 3.0 est tout simplement… vide, sans même la moindre illustration pour l’appuyer.
Dans un échange public sur Twitter, Azim Khodjibaev, des équipes Talos de Cisco, avance l’hypothèse d’un affidé travaillant avec les deux franchises. De son côté, le chercheur et auteur Jon DiMaggio, évoque une observation concordante : « nous avons vu deux incidents, en février et mars, où les ransomwares Monti et LockBit étaient déployés, et où les deux notes de rançon avaient été déposées. L’attaquant ayant utilisé Monti a négocié et géré les deux clés de déchiffrement ».
Le FBI vient d’ailleurs de publier une alerte sur cette menace, évoquant des attaques durant lesquelles les assaillants « ont déployé deux variants de rançongiciel différents contre les entreprises victimes, à partir des variants suivants : AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum, et Royal ». Et cela suivant « différentes combinaisons ».
Avant cela, d’autres exemples troublants avaient déjà pu être observés, avec ainsi la revendication d’une cyberattaque contre 100X chez LockBit, en janvier, puis chez RansomHouse, fin avril. C’est chez cette franchise qu’une cyberattaque a été revendiquée fin avril contre Albany ENT & Allergy Services… revendiquée également le 11 mai chez BianLian. Et début mai, AvidXchange était revendiqué chez RansomHouse ainsi que… Abyss. Delaware Life Insurance ? Revendiqué chez LockBit 3.0 ainsi que RansomHouse. Fiduagria (Colombie) ? Chez LockBit 3.0 et Medusa, à 24h d’intervalle, fin mai. Guardian Analystics ? Chez Daixin le 20 janvier, puis chez LockBit 3.0 le 3 février. Meade Tractor ? Chez Play début février, puis chez Black Basta.
Les passerelles ne semblent pas se limiter à cela. Depuis le mois de janvier, sept victimes ont été revendiquées chez Snatch ainsi que chez Nokoyawa. De quoi brouiller les pistes et rendre encore plus ardu le suivi de l’activité des cybercriminels.
Quelques cas comparables avaient été observés en 2021. À l’époque, Brett Callow, analyste chez Emsisoft, nous expliquait juger probable qu’il s’agisse d’un même attaquant, tentant sa chance une seconde fois, avec un autre ransomware, après avoir échoué une première fois à obtenir le paiement de la rançon. Et même qu’il utilise un ransomware sur une partie de l’infrastructure, et un autre sur le reste : « il y a beaucoup de cas avec deux chiffrements et deux demandes. Parfois, l’attaquant chiffre 50 systèmes avec X, et 50 autres avec Y, tout en utilisant la même extension, ce qui rend les choses très compliquées ».
De fait, les programmes de ransomwares en mode service (RaaS) cachent une organisation de type franchise, où les opérateurs d’un programme – comme Conti, Avaddon, DarkSide, Sodinokibi, etc. – maintiennent une plateforme assortie de plusieurs services à des affidés, conduisant effectivement les attaques. Des mouvements d’attaquants passant d’un programme de RaaS à un autre ont déjà pu être observés.
Historiquement, des formes de coopération entre programmes de RaaS ont été constatées. Yelisey Boguslavskiy, de RedSense, en évoquait une, entre Conti et Hive, au printemps 2022 : « Conti offre un accès initial et Hive le traite. Les membres de Conti responsables de ces accès publient parfois les résultats sur les deux blogs ». Cette coopération aurait alors commencé six mois plus tôt.
Surtout, il serait naïf d’imaginer que les affidés n’essaient pas de se ménager les moyens de revenir dans le système d’information de victimes attaquées une première fois. Fin septembre 2020, un affidé de REvil nous avait ainsi montré ce qu’il disait être un extrait de données d’authentification dérobées à l’aide de Mimikatz, chez Elior, attaqué trois mois plus tôt. En somme, il s’était gardé les moyens de revenir, si tant est qu’un solide nettoyage en profondeur n’eût pas été effectué.
Article initialement publié le 6 juin 2023, mis à jour le 29 septembre 2023.