Getty Images/iStockphoto
Ransomware : fin de partie pour Trigona
Les serveurs et sauvegardes de la franchise de ransomware Trigona viennent d’être effacés par un acteur se revendiquant de « l’Ukrainian Cyber Alliance ».
En France, on ne lui connaît guère que deux victimes, pour lesquelles les revendications avaient été créées en mars et avril derniers, sur un total de 36 connues, majoritairement outre-Atlantique. Les dernières ont été revendiquées début octobre. Et la franchise Trigona n’en fera peut-être plus d’autres, au moins pour un temps.
Ce 18 octobre, tôt dans la nuit, un acteur se réclamant de la Ukrainian Cyber Alliance l’a assuré : « les serveurs du gang de ransomware Trigona ont été exfiltrés et effacés » par cette alliance. Celui-ci, l’interface d’administration, le site vitrine, les serveurs internes (RocketChat et Atlassian), et environnement de développement, ont été vidés de leur contenu et effacés. Les comptes en cryptomonnaies auraient également été siphonnés.
Les opérateurs de la franchise Trigona n’ont guère semblé, au moins initialement, être très soucieux de leur sécurité opérationnelle. Pendant plusieurs semaines, leur vitrine permettait d’accéder à des revendications en attente de publication par simple énumération des pages. Lorsque la franchise a corrigé ce défaut, au moins une dizaine de victimes non encore revendiquées étaient prêtes à l’être.
Dans ce contexte, il ne serait pas surprenant que les acteurs de la Ukrainian Cyber Alliance aient exploité la vulnérabilité CVE-2023-22515 récemment dévoilée par Atlassian : sa plateforme Confluence est apparemment utilisée au moins parfois par les cybercriminels. L’acteur ayant annoncé la chute de Trigona avait, la semaine dernière, revendiqué l’intrusion dans une instance Confluence utilisée par une franchise de rançongiciel.
La manière dont cette opération a été conduite suscite en elle-même des questions. Mais la manière dont la suite sera gérée – et notamment le partage d’informations avec les forces de l’ordre et les victimes identifiées – en pose encore plus. Des indices pourraient notamment être collectés sur les affidés de la franchise, dont certains sont susceptibles de travailler également avec d’autres.
Ainsi, une cyberattaque contre le Britannique Marshall Construction avait été revendiquée sur le site vitrine de LockBit 3.0 le 7 mai, avant d’apparaître sur celui de Trigona le 26 mai. Mais sur celui-ci, la revendication était en réalité déjà prête le 10 mai. Plus troublant encore, la revendication, chez LockBit 3.0 était tout simplement… vide, sans même le moindre échantillon de données volées pour l’appuyer.