Assistons-nous à la montée en puissance des ransomwares en tant que service ?
Au cours de cette année, DarkSide, un groupe de hackers russes, a attiré l’attention du Département d’État américain.
En mai 2021, DarkSide a été responsable d’une attaque par ransomware contre Colonial Pipeline, extorquant 5 millions de dollars pour ne pas divulguer les données qu’ils détenaient sur le réseau du pipeline. Cette attaque est considérée comme l’une des principales attaques de ransomware sur l’infrastructure américaine à ce jour.
Ce que nous savons du DarkSide, c’est qu’il.. :
- Opèrent en tant que Ransomware as a service (Raas)
- Obtenir leur rançon en Bitcoin
- Le Département d’État américain a émis un prix de 10 millions de dollars pour toute information permettant de retrouver les dirigeants du groupe.
Qu’est-ce qui rend le service Raas inquiétant ? L’utilisation de Bitcoin entraînera-t-elle la chute de DarkSide ?
Comment se fait-il que le Département d’État américain se soit impliqué dans cette affaire ?
Voyons voir.
Qu’est-ce qui rend le ransomware as a service particulièrement dangereux ?
Le ransomware as a service (Raas) est une souche de ransomware qui donne aux gens ordinaires des outils pour mener des cyberattaques.
Comme pour les autres types de ransomware, l’auteur utilise un malware pour obtenir l’accès au réseau de la victime. Une fois qu’il a accordé l’accès aux données sensibles, il demande une rançon.
Raas fonctionne comme un logiciel affilié, ce qui signifie que les utilisateurs peuvent l’acheter sur des forums clandestins et l’utiliser pour créer des attaques de ransomware.
Qu’est-ce qui rend ce logiciel dangereux ?
Il n’est pas nécessaire d’être un pirate informatique pour extorquer des entreprises avec Raas. N’importe qui, même les personnes avec peu ou pas de compétences, peut acheter un affilié et cibler quelqu’un avec une attaque de ransomware.
L’attaque de Pipeline a été le résultat d’une attaque de ransomware en tant que service. Quelqu’un a acheté l’affilié et l’a utilisé pour attaquer le pipeline.
Cela pourrait être un signe que DarkSide perd le contrôle de ses services. Ou qu’ils sont accusés d’une attaque dont ils ne sont pas responsables. En effet, ils affirment qu’ils ne sont pas politiques et que leurs attaques de ransomware ont exclusivement un but monétaire. Dans le passé, DarkSide a affirmé qu’ils ne ciblent pas les gouvernements, les hôpitaux et les organisations à but non lucratif.
Pourquoi le groupe DarkSide veut-il des bitcoins pour les ransomwares ?
Le groupe DarkSide échange ses services exclusivement contre des bitcoins. Au fil des ans, le bitcoin est devenu une monnaie par défaut pour les activités illégales.
De nombreuses personnes associent la popularité des crypto-monnaies comme le bitcoin au paiement des activités illicites du dark web. On le considère comme une forme de paiement intraçable et anonyme.
En réalité, les transactions en bitcoin sont transparentes. Selon le site officiel de Bitcoin:
« Toutes les transactions en bitcoin sont publiques, traçables et stockées en permanence dans le réseau bitcoin. »
Cela permettait déjà FBI de saisir 2,3 millions de dollars de crypto-monnaies à DarkGroup en juin 2021.
On estime que DarkSide a déjà reçu 90 millions de dollars en bitcoins de la part de ses différentes victimes (dont le Pipeline).
Pourquoi la récompense émise par le Département d’État américain est-elle si élevée ?
En novembre 2021, le Département d’État américain a déclaré qu’ils offrent 10 millions de dollars pour l’information qui pourraient identifier les leaders du DarkSide.
Pour le FBI, l’information est une monnaie plus précieuse que le bitcoin, mais il ne réserve les récompenses importantes qu’aux affaires majeures. Le groupe DarkSide a été impliqué dans plusieurs cas de ransomware très médiatisés survenus cette année, mais le FBI ne s’y est pas intéressé avant l’attaque Pipeline. Cette attaque par ransomware a attiré l’attention du Département d’État américain car elle visait l’une des infrastructures énergétiques critiques des États-Unis.
S’ils n’avaient pas attaqué le pipeline, il est probable que le gouvernement ne se serait pas autant intéressé à leur activité. Cependant, le groupe DarkSide est composé de cybercriminels russes qui ciblent leurs rivaux, c’est-à-dire principalement de riches entreprises américaines. Outre le pipeline, ils ont également ciblé Brenntag (une entreprise allemande de distribution de produits chimiques) et Toshiba Tec. Corp.
La Russie n’interfère pas avec leur activité car DarkSide ne cible pas les entreprises russes afin d’éviter la répression russe.
Si les États-Unis n’utilisent pas leurs ressources pour les traduire en justice, il est possible que personne d’autre ne le fasse.
Raas démocratise les cyber-attaques
Les attaques par ransomware sont dangereuses et causent des dommages durables à leurs cibles – tant à leur réputation qu’à leurs finances. C’est pourquoi les victimes sortent généralement leurs portefeuilles de bitcoins et paient la rançon demandée.
Se conformer aux conditions du pirate est une arme à double tranchant. Les cibles peuvent retrouver l’accès à leurs données et balayer l’incident sous le tapis. En payant la rançon, elles donnent aussi un pouvoir financier aux groupes ou aux criminels et leur fournissent des ressources pour attaquer d’autres entreprises et organisations.
Les attaques de type raas qui tombent entre de mauvaises mains (si l’on peut même prétendre qu’il existe de bonnes personnes pour être des criminels) sont particulièrement dangereuses car elles démocratisent les cyberattaques – en donnant à n’importe qui les moyens de demander une rançon.
La forte implication du Département d’État américain dans cette affaire et la traçabilité des transactions en bitcoins sont susceptibles de mettre un terme à l’activité du DarkSide et d’envoyer un message aux organisations similaires qui opèrent à l’aide de Raas. Mais là encore, seul le temps nous le dira.
Image: Pixabay