stokkete - stock.adobe.com

Ransomware : quand deux revendications ne sont pas synonymes de deux attaquants

Une cyberattaque revendiquée sur deux vitrines de franchises différentes ? La conséquence d’un accès initial vendu à deux acteurs différents ? C’est plus vraisemblablement l’œuvre d’un attaquant travaillant sous deux bannières.

Le 15 mars dernier, 16 nouvelles revendications sont apparues sur le site vitrine de la franchise mafieuse LockBit. Plus de 5 d’entre elles avaient préalablement fait leur apparition chez… Alphv/BlackCat, parti avec la caisse dix jours plus tôt, comme le relève Ido Cohen, de DarkFeed.

De tels cas de revendications croisées avaient déjà été observés en 2021. Mais ils s’avèrent rares : entre le 1er janvier 2023 et le 15 mars 2024, nous en avons seulement comptabilisé 88.

Dans ce lot, il convient de mettre de côté les revendications publiées par Snatch : actuellement, cette enseigne joue un rôle de plateforme de diffusion de données volées lors de cyberattaques menées par des tiers, et parfois bien antérieurement. Cette lessiveuse a notamment été utilisée 7 fois, l’an dernier, par un acteur œuvrant sous la bannière de Nokoyawa. Mais un ou des affidés des enseignes LockBit, Medusa, 8base, Alphv, Dragonforce ou encore Cactus y ont également eu recours.

Sur la période considérée, nous avons compté 10 revendications apparues sur la vitrine de LockBit après avoir été initialement publiées chez Daixin, Play, Royal, 8base, Hunters International, Alphv, BlackBasta, ou encore RansomHub.

Nous avons également constaté 15 cas de revendication initiale chez LockBit, suivies d’une revendication postérieure chez BianLian (3 cas), Play (2 cas), 8base (2 cas), Alphv, ou encore Hunters International et même ThreeAM, en janvier 2024. 

Toujours début 2024, trois revendications initialement publiées fin octobre et début novembre 2023 sous bannière NoEscape ont fait leur apparition chez Hunters International.

Une revendication apparue chez Royal et Black Basta n’est pas, en elle-même, vraiment surprenante : comme BlackByte, Karakurt, ou encore Royal, BlackSuite et ThreeAM, ces enseignes sont considérées comme des émanations de Conti.

Mais même les ex-Conti semblent enclins à travailler avec d’autres vitrines : nous avons observé des revendications publiées d’abord chez Black Basta et BlackByte avant de finir chez Alphv.  

D’autres cas peuvent apparaître plus surprenants, avec revendication croisée chez Trigona et Hunters International, ou encore Stormous et Black Basta, voire un cas impliquant successivement Monti, Donuts Leak, et Alphv.

Ces observations confortent l’idée que les franchises de ransomware sont de plus en plus utilisées comme de simples marques, des écrans de fumée derrière lesquels se cachent les affidés.

Sur X (anciennement Twitter), Jon DiMaggio, d’Analyst1, confirme : « à plusieurs reprises, j’ai été appelé pour des incidents au cours desquels deux charges utiles avaient été identifiées dans l’environnement. Dans chaque cas, l’idée initiale était que deux groupes ciblaient la même victime. En réalité, un affilié soutenait deux groupes et lorsque l’EDR a identifié la charge utile d’une marque, il en a laissé tomber une autre ». 

De quoi « donner l’impression que deux attaques avaient eu lieu ». Mais ce n’était pas le cas : « en réalité, un affilié travaillait avec deux fournisseurs » de rançongiciel en mode service (RaaS).

Selon un fin connaisseur de l’écosystème cybercriminel lié aux rançongiciels, « les grosses cibles sont généralement piratées en coopération avec d’autres ». Des partenariats sont rares entre groupes affidés, mais peuvent survenir. Pour lui, nous venons potentiellement d’en avoir l’illustration avec l’apparition, sur la vitrine de l’enseigne Apt73, de 6 revendications concernant des victimes préalablement revendiquées chez Black Basta : « l’explication la plus simple est qu’un affidé Black Basta faisant partie d’Apt73 s’en soit chargé ». Et de souligner qu’une vitrine n’est finalement qu’un portfolio. Un portfolio pour chacun des acteurs ayant participé à une attaque.

Sur LinkedIn, Alex Necula, d’ACS Data Systems, indiquait en mars 2024 avoir « découvert un lien étroit entre les gangs de ransomwares BlackCat et Trigona » sur la base de deux réponses à incidents. Les assaillants ont utilisé rclone pour exfiltrer des données vers un « même compte mega[.]nz »… renvoyant à Trigona. « Nous pouvons en déduire que le même pentester a travaillé avec les deux gangs de Ransomware as a Service », conclut-il.

Article publié initialement le 18 mars 2024, mis à jour le 20 mars 2024, puis le 31 octobre 2024.

Pour approfondir sur Menaces, Ransomwares, DDoS