L'actualité récente a été très chargée pour les gangs russophones de hackers. En effet, deux groupes actifs ont subi d'importants revers.
Le groupe d'hacktivistes «Ukrainian Cyber Alliance» a sérieusement mis à mal le gang russe Trigona. Les pirates, dotés de grandes compétences techniques, ont profité d'une faille de sécurité dans un logiciel serveur pour s'emparer du portail Darknet des cybercriminels.
Selon leurs propres déclarations, les hacktivistes ont copié à leur insu toutes les données enregistrées avant de les effacer. Ils ont ensuite ajouté à la page d'accueil un message de salutations spécial s'adressant aux hackers.
Les adresses web du darknet portant l'abréviation «.onion», connues dans les milieux concernés, ne sont plus accessibles depuis peu via le réseau d'anonymisation Tor.
Trigona fait partie des gangs dont le modèle commercial est appelé «ransomware as a service» (RaaS). Les cybercriminels proposaient leur infrastructure informatique à des tiers contre paiement afin de pirater et d'extorquer des victimes.
👉Suivez en direct la guerre contre l'Ukraine👈
Le logiciel de cryptage du même nom est connu depuis juin 2022. Il s'agissait donc d'un gang relativement récent, même s'il n'est pas exclu que ses membres aient été actifs sous d'autres noms.
Selon les informations publiées sur le darknet, la plupart des entreprises concernées étaient américaines. Toutefois, plusieurs organisations européennes ont également été piratées et dénoncées parce qu'elles n'avaient pas payé. Jusqu'à présent, watson n'a pas eu connaissance de victimes suisses de Trigona.
Les hacktivistes pro-ukrainiens ont fait savoir sur X qu'ils souhaitaient d'abord exploiter eux-mêmes les données du gang de ransomwares. Selon Bleeping Computer, ces données pourraient ensuite être transmises aux autorités de poursuite pénale. Un membre de la Cyber Alliance ukrainienne a déclaré sur X que les données prétendument récupérées comprenaient l'environnement de développement et le code source du logiciel malveillant, des comptes de cryptomonnaie et des entrées de base de données.
Trigona's rep posted a message on RAMP in response to their takedown by @UCA_ruhate_ They claim to be back by October 22.
— AzAl Security (@azalsecurity) October 19, 2023
cc: @Cyberknow20 @uuallan @BleepinComputer @UK_Daniel_Card @BushidoToken https://t.co/37R2366BpN pic.twitter.com/x43IADK1gd
Le choc a dû être terrible pour les cybercriminels piratés: lorsqu'ils ont finalement remarqué les intrus dans leur système informatique, ils auraient encore tenté désespérément de changer les mots de passe. Sans succès.
Entre-temps, un message confirmant l'attaque a été publié sur un forum de hackers russes. L'administrateur de Trigona affirme que le gang va mettre en service une nouvelle infrastructure dans quelques jours seulement. Cette situation nous amène à un autre gang de ransomwares, encore plus dangereux, qui a subi un revers dévastateur cette semaine...
L'infrastructure du darknet du gang russophone de ransomware Ragnar Locker a été saisie dans le cadre d'une opération internationale de répression. Un des principaux responsables présumés a été arrêté par la police, a annoncé Europol vendredi.
Selon le communiqué d'Europol, des perquisitions ont été menées en République tchèque, en Espagne et en Lettonie dans le cadre d'une opération coordonnée entre le 16 et le 20 octobre. La «cible principale», un développeur informatique, a été arrêtée à Paris, en France. Son appartement a été perquisitionné en République tchèque. Dans les jours qui ont suivi, cinq suspects ont également été interrogés par les enquêteurs en Espagne et en Lettonie.
L'infrastructure du gang des ransomwares aurait également été saisie aux Pays-Bas, en Allemagne et en Suède. Le site web Tor associé aux fuites de données aurait été désactivé en Suède. Cette rafle internationale est «le résultat d'une enquête complexe» menée par la gendarmerie française en collaboration avec les services répressifs d'Allemagne, d'Italie, du Japon, de Lettonie, des Pays-Bas, de Suède, d'Espagne, d'Ukraine, de la République tchèque et des Etats-Unis.
Dès octobre 2021, des enquêteurs de la gendarmerie française et de la police fédérale américaine FBI auraient été envoyés en Ukraine avec des spécialistes d'Europol et d'Interpol. Selon le communiqué, ils ont mené des enquêtes avec la police nationale ukrainienne. Ces investigations ont conduit à l'arrestation de deux célèbres exploitants de Ragnar Locker. L'enquête se serait poursuivie depuis et aurait abouti cette semaine aux arrestations et aux saisies.
Ragnar Locker est considéré comme l'un des gangs de ransomwares les plus actifs au monde depuis longtemps. Depuis 2019, le groupe s'est surtout fait connaître par des cyberattaques contre des sociétés d'exploitation d'infrastructures critiques. Il est considéré comme un précurseur de ce que l'on appelle le «Big Game Hunting»: cela signifie que les cybercriminels s'attaquaient de préférence aux grandes entreprises solvables et volaient des données précieuses.
Avec leurs moyens d'attaque, les pirates ont ciblé les ordinateurs équipés de systèmes d'exploitation Microsoft Windows. Ils ont généralement utilisé des services en ligne comme le «Remote Desktop Protocol» pour accéder aux systèmes.
Jusqu'à la fermeture de la page de fuite, Ragnar Locker y avait répertorié plus de 100 victimes, comme l'indique la société de sécurité informatique CrowdStrike dans un communiqué.
Selon le FBI, rien qu'entre avril 2020 et mars 2022, plus de 50 organisations – dans des secteurs économiques critiques – ont été touchées par des cyberattaques de Ragnar Locker, dont le grand fournisseur d'énergie Energias de Portugal (EDP), la compagnie aérienne portugaise TAP, la filiale américaine de l'entreprise aérospatiale française Dassault Aviation et l'entreprise française de transport maritime et de logistique CMA CGM. Un grand hôpital israélien et l'opérateur national de gaz naturel de Grèce ont également été touchés.
Traduit et adapté par Nicolas Varin
