peterzayda - stock.adobe.com

SenSayQ, Estate Ransomware, Brain Cipher : trois enseignes pour un même acteur ?

Des indices font ressortir un lien probable entre ces trois marques de rançongiciel basées sur le code de LockBit 3.0, mais indépendamment de celle-ci. Group-IB suspecte Brain Cipher et RebornRansomware d’être également utilisés par le même acteur malveillant.

Le groupe Brain Cipher, impliqué dans la cyberattaque récemment menée contre le Grand Palais RMN, s’auréole d’un peu plus de mystère. Il pourrait être lié à l’enseigne, légèrement plus ancienne, SensayQ, voire à d’autres, plus discrètes.

Brain Cipher compte parmi les cybercriminels utilisant un « builder » LockBit 3.0 qui a échappé à la franchise en septembre 2022. Les acteurs malveillants utilisant ce builder pour conduire des cyberattaques avec rançongiciel présentent des niveaux d’avancement différents dans leurs méthodes d’extorsion.

La majorité de ceux qui sont observables à partir d’échantillons téléversés dans des bacs à sable d’analyse de maliciels (à commencer par le célèbre Virus Total) pourrait se contenter d’extorsion simple. À savoir du chiffrement de données sans vol préalable, quand d’autres ont déjà mis en place un environnement de gestion des négociations, voire de divulgation de données exfiltrées du système d’information de leur victime.

Les enseignes DragonForce et SensayQ font partie de ce dernier groupe, mais Brain Cipher les a rejoints. Fin juin, l’interface de négociation de l’enseigne était active et sa vitrine est rapidement apparue dans la foulée.

Mais Group-IB vient de relever des similarités entre SensayQ et BrainCipher. Tout d’abord, leurs sites accessibles via Tor « utilisent les mêmes technologies et scripts ». Les conditions mentionnées sur les sites vitrine des deux enseignes sont également similaires. Et les adresses e-mail de contact indiquées dans les notes de rançon sont en outre structurées suivant le même modèle et s’appuient sur le même service. 

Certaines tournures utilisées dans les notes de rançon des deux enseignes sont par ailleurs identiques : « Dear managers » en introduction, suivie de « if you are reading this, it means your network has been attacked ».

Mais les chercheurs de Group-IB ont trouvé des liens entre SensayQ et un groupe sans nom ainsi qu’EstateRansomware : des adresses e-mail de négociation. 

EstateRansomware n’a pas de vitrine connue ni d’interface de négociation et pourrait avoir servi à préparer le lancement de l’enseigne SensayQ. Group-IB a également identifié une autre marque susceptible d’être liée à cet ensemble, RebornRansomware, mais il apparaît difficile d’établir si elle est antérieure aux autres, ou si elle est nouvelle.

Restent quatre autres échantillons découverts entre fin mai et fin juillet – sans que cela permette de déterminer de quand ils datent véritablement – qui génèrent des notes de rançon fortement similaires à celle d’un échantillon de SensayQ découvert début avril.

Mais les notes de rançon de ces échantillons mentionnent des adresses mail de contact différentes qui nous avaient précédemment conduites à désigner le groupe concerné Abdrahamteam

Dig Deeper on Menaces, Ransomwares, DDoS