Ransomware : saisie contre Dispossessor juste après une victime en France

En juillet, le groupe Radar, se faisant aussi appeler Dispossessor, a fait une victime, en France, dans le secteur de la santé. L’incident est survenu « suite à la compromission d’un compte VPN ». De là, « la découverte d’un mot de passe faible d’un compte admin domaine, en clair dans un fichier, a permis à l’attaquant de se connecter au contrôleur de domaine ». Enfin, « des données ont été exfiltrées puis les données du serveur ont été chiffrées », rapporte le CERT Santé dans son bulletin d’information mensuel.

Il est possible que ces données, comme celles d’autres victimes de Dispossessor, ne soient jamais divulguées. De fait, le groupe vient de faire l’objet d’une opération judiciaire internationale. C’est l’antenne du FBI à Cleveland qui vient de l’annoncer.

Dans le cadre de cette opération, « 3 serveurs aux États-Unis, 3 serveurs au Royaume-Uni, 18 serveurs en Allemagne, 8 noms de domaine enregistrés aux États-Unis et un en Allemagne » ont été saisis. 

Le groupe Dispossessor est ouvertement connu depuis la fin du mois de mars 2024. Il s’est initialement distingué par la reprise massive de revendications originellement apparues sur la vitrine de la franchise LockBit 3.0, de quoi laisser à penser à un affidé de la franchise. Mais la nouvelle enseigne ne s’est pas privée de reprendre également à son compte les revendications d’autres groupes, rappelant le mode opératoire d’un Snatch. Dont il a également repris des revendications.

Au total, plus de 340 revendications de cyberattaque ont été publiées sur le site vitrine de Dispossessor, mais seulement une quarantaine d’entre elles est exclusive à cette vitrine, avec des dates de revendication entre le 18 avril 2024 et le 11 août. De quoi suggérer un nombre de cyberattaques menées en propre limité.

De son côté, le FBI évoque une date de création de Radar/Dispossessor en août 2023, à partir de laquelle il « s’est rapidement transformé en un groupe de ransomwares à l’impact international, ciblant et attaquant des petites et moyennes entreprises et organisations des secteurs de la production, du développement, de l’éducation, de la santé, des services financiers et des transports ».

Au total, l’enquête « a permis de découvrir 43 entreprises victimes des attaques, originaires de pays tels que l’Argentine, l’Australie, la Belgique, le Brésil, le Honduras, l’Inde, le Canada, la Croatie, le Pérou, la Pologne, le Royaume-Uni, les Émirats arabes unis et l’Allemagne ». 

À date, Radar/Dispossessor est connu pour conduire des cyberattaques en utilisant le « builder » de la franchise LockBit 3.0, qui lui a échappé en septembre 2022. De quoi compter parmi les indépendants exploitant, donc, son rançongiciel sans avoir de lien établi avec l’enseigne. Début juillet, nous avions trouvé un échantillon produisant une note de rançon confirmant cette utilisation.