Les plaintes des cybercriminels arnaqués par leurs pairs
Des cybercriminels utilisant un système de ransomware-as-a-service (RaaS) se sont publiquement plaints que le groupe auquel ils louent leur logiciel malveillant pourrait utiliser une porte dérobée cachée pour s’approprier les paiements de rançon.
REvil est l’une des variantes les plus connues et les plus courantes de ransomware, impliquée dans plusieurs incidents majeurs. Le groupe à l’origine de REvil loue son ransomware à d’autres cybercriminels en échange d’une part des bénéfices que ces affiliés réalisent en extorquant des paiements en bitcoins contre les clés de déchiffrement du ransomware.
Confiance : zéro
Mais il semble que cette part ne soit pas suffisante pour ceux qui se cachent derrière REvil : il a été récemment révélé qu’une porte dérobée secrète est codée dans leur produit, ce qui permet à REvil de restaurer les fichiers chiffrés sans l’intervention de l’affilié. Ce qui pourrait permettre à REvil de prendre le contrôle des négociations avec les victimes, de détourner les discussions dites de “support client” et de s’approprier les paiements de rançon.
L’analyse de forums cybercriminels par les chercheurs en cybersécurité de Flashpoint suggère que la divulgation de cette porte dérobée n’a pas été bien accueillie par les affiliés.
Un utilisateur du forum affirme avoir eu des soupçons sur les tactiques de REvil. Il précise que son propre projet d’extorsion de 7 millions de dollars à une victime a été brutalement interrompu. Ils pensent que l’un des auteurs de REvil a pris le contrôle des négociations en utilisant la porte dérobée et s’est enfui avec l’argent. Un autre utilisateur du forum russophone s’est plaint d’en avoir assez des « programmes de partenariat minables » utilisés par des groupes de ransomware « auxquels on ne peut pas faire confiance ». Mais il suggère également que le statut de REvil comme l’un des programmes de ransomware-as-a-service les plus lucratifs signifie que les novices vont affluer pour devenir affiliés. C’est particulièrement le cas maintenant que le groupe est de nouveau en action, après avoir semblé faire une pause au début de l’été.
Pas de recours possible
Pour les cybercriminels, qui s’estiment lésés, il n’y a pas grand-chose à faire. Un utilisateur du forum a suggéré que toute tentative de gérer cette situation serait aussi inutile que d’essayer d’arbitrer « contre Staline ».
Les ransomwares restent l’un des principaux problèmes de cybersécurité auxquels le monde est confronté aujourd’hui. Pour les victimes d’attaques par ransomware, peu importe finalement qui se trouve à l’autre bout du clavier pour exiger le paiement de la clé de déchiffrement : beaucoup choisiront de payer la rançon, estimant que c’est le meilleur moyen de restaurer leurs données.
Mais même si les victimes paient la rançon – ce qui n’est pas recommandé car cela encourage d’autres attaques de ransomware – le rétablissement du système informatique peut être un processus lent et il peut s’écouler des semaines ou des mois avant que les services ne soient entièrement rétablis. Qu’il s’agisse de REvil ou de tout autre groupe de ransomware, la meilleure façon d’éviter les perturbations causées par une attaque de ransomware est d’empêcher les attaques d’arriver en premier lieu.
L’un des principaux moyens dont disposent les entreprises pour mettre fin aux attaques par ransomware est de s’assurer que les systèmes d’exploitation et les logiciels du réseau sont corrigés avec les dernières mises à jour de sécurité, afin que les cybercriminels ne puissent pas exploiter facilement les vulnérabilités connues pour prendre pied sur le réseau de leur cible. L’authentification multifactorielle doit également être appliquée à tous les utilisateurs afin d’empêcher les pirates d’utiliser des noms d’utilisateur et des mots de passe volés pour se déplacer sur un réseau compromis.
Source : ZDNet.com
