Afiq Sam - stock.adobe.com

TronBit : gros plan sur l’un de ces indépendants qui utilisent LockBit 3.0

Les acteurs malveillants regroupés sous cette désignation utilisent LockBit 3.0 comme tant d’autres, avec des exigences plutôt modestes. Mais ils présentent une originalité dans le mode de paiement demandé.

Le CERT national d’Israël alertait à son sujet en février, suivi de celui du Vietnam deux mois plus tard : le cluster TronBit compte parmi les indépendants utilisant le ransomware de la franchise LockBit 3.0 sans pour autant avoir de lien établi avec celle-ci. 

Pourquoi de cluster TronBit ? Parce que l’acteur malveillant impliqué ne cherche pas à se faire payer en Bitcoin ni même en Monero : il veut de l’USDT, une cryptomonnaie conçue pour avoir une valorisation stable par rapport au dollar américain – on parle de stablecoin – qui s’appuie sur la blockchain Tron, suivant le standard de jetons TRC-20.

Dans son rapport, le CERT national d’Israël mentionne cinq adresses e-mail mentionnées dans les notes de rançon et proposées pour la conduite d’éventuelles négociations : 

  • spiroshalkis[@]mail.com
  • ericducke[@]mail.com
  • contactbit8cca[@]mail.com
  • tpichighinn[@]mail.com
  • donahuerolland[@]mail.com

Le CERT national du Vietnam fournit les mêmes. Nos recherches nous ont conduits à en trouver une additionnelle :

  • goodlucklisa[@]mail.com

La note de rançon est identique et le paiement également demandé en USDT-TRC20. L’adresse de paiement est différente, mais des versements ont été réalisés depuis l’adresse utilisée pour les rançons impliquant ericducke[@]mail.com (TKuQ8S75xUzB8ZsbAULmhBs36GiBGFrUbC) et depuis celle utilisée pour goodlucklisa[@]mail.com (TTpEpsPpRH5KSWyqfK1KEvsrJSYKcjbxJ9) vers une même adresse : TFToiGbQ4815UPY8QGHPBL2CY9MY9Qo8hz. De quoi renforcer le soupçon de forte proximité entre les acteurs concernés et confortant leur rapprochement au sein du cluster TronBit.

Sur les deux adresses considérées, les premiers paiements sont survenus en janvier 2024. Mais un message sur les forums de nos confrères de Bleeping Computer montre que le cluster était déjà actif fin décembre 2023.

On en compte 71, à ce jour, pour un montant total d’environ 36 500 USDT. Le paiement le plus élevé semble avoir été de 6 000 USDT. Le plus récent n’a pas deux semaines et s’est limité à 100 USDT.

Pour approfondir sur Menaces, Ransomwares, DDoS