Vue lecture

Ransomware #5 : guerre civile dans l'underground cybercriminel

Pourquoi Poutine a raté sa cyber-guerre contre l'Ukraine

Autrefois meilleurs alliés, désormais pires ennemis. La guerre en Ukraine a créé un schisme entre pirates ukrainiens et russes. Analyse de leur affrontement feutré, occasion en or de découvrir quelques petites mains de la cybercriminalité. Selon leurs propres mots, à prendre avec des pincettes.

En janvier 2024, Blackjack, un groupe de pirates possiblement en lien avec l'espionnage ukrainien, parviennent à dérober les plans de construction de 500 sites militaires dont des bases aériennes, des sites de défense aérienne, des arsenaux.

Le hacker Baasterlord semble de son propre aveu être né dans les convulsions de la guerre du Dombass. Nous sommes probablement à la fin de l'année 2019, dans la république séparatiste de Lougansk, dans l'Est de l'Ukraine. Un jeune homme sort précipitamment de chez lui et arrête la voiture d'un voisin qui passe par là : « Aidez-moi, je vous donnerai ce que vous voudrez, mais emmenez ma mère à l'hôpital. Elle a eu une attaque ! ». La ville est plongée dans l'obscurité due aux coupures intempestives de courant. Alors qu'il revient chez lui, quelques heures plus tard, il réalise que ses petits boulots d'informaticien freelance et veilleur de nuit ne lui permettront pas de payer les médicaments dont sa mère a besoin. Baasterlord doit avoir 23 ans. Au-dessus de lui, dans la nuit, volent des avions de chasse.

Il va alors prendre son ordinateur et se connecter sur le forum de l'underground russe « XSS.in » pour y déposer un CV. Contacté par un hacker du nom de Lalartu, il intègre son équipe d'affiliés : la « National Hazard Agency ». Lalartu, qui le prend sous son aile, s'avèrera faire partie du gang REvil. En juin 2020, lors du « Défi de l'été » sponsorisé par le groupe Lockbit, Baasterlord soumet un rapport sur les techniques de spam, sa spécialité. En 2021, il publie un « Manuel de hacking » suivi d'une deuxième version payante, en dix exemplaires, contenant des portes dérobées...

Ransomware #4 : les eaux troubles

Gangs de hackers et services secrets russes. Sur les traces de Conti et de Evil Corp.

Protégés par l'État russe, élusifs par essence, les cyber-gangs seraient, évidemment, des marionnettes du FSB ? Loin des fantasmes, quelles sont les pistes tangibles qui ont été levées et comment ces liens troubles pourraient-ils s'articuler ?

Les liens entre gangs de hackers et services russes, remontés par Jon Di Maggio dans son rapport "Nationstate Ransomware" - Analyst1

Pour cette histoire, il faut remonter dans le temps sur les traces d'un ancien du milieu, un parrain du cyber-crime : Evgeniy Bogachev. L'homme apparait sur les radars dès 2007 comme le créateur du cheval de Troie bancaire Zeus. Il est alors connu sous le pseudo de Slavik.

Le business club de Evgeniy Bogachev

L'attaque commence souvent avec un spam. Un clic de trop et voilà l'ordinateur infecté, le malware attendant patiemment une connexion vers un site bancaire. S'éveillant alors, il modifie les pages que l'utilisateur consulte, l'amenant à divulguer ses identifiants. Et voilà les comptes bancaires de la victime aux mains des pirates. La souche virale est tenue à jour et de nouvelles fonctionnalités apparaissent, permettant de déposer d'autres malwares sur les ordinateurs victimes. Le botnet Zeus devient populaire auprès de la communauté cyber-criminelle. La maintenance de son réseau de machines zombies devenant trop lourde, Slavik va s'entourer. Pendant un temps, il collabore avec les cyber-gangs RockFish et Avalanche avant de créer sa propre association de malfaiteurs. Il va la nommer le « Business club ».

Le « Club » apparait sur le radar des autorités en 2010. Après une plainte déposée dans le Nebraska, des enquêteurs vont remonter à une machine utilisée par le gang pour communiquer. De fil en aiguille, l'enquête conduit à l'identification de plusieurs membres du groupe et à des arrestations en Ukraine....

❌