Drame dans le milieu des pirates informatiques : le célèbre gang de ransomware REvil, responsable entre autres de l’attaque contre l’entreprise américaine Kaseya, est accusé par ses partenaires de les avoir escroqués. Selon les discussions qui ont eu lieu sur divers forums en langue russe, la commission de 30 % que le gang prélève sur les rançons versées par les victimes n’était pas suffisante. Selon le rapport, REvil a construit une porte dérobée dans son infrastructure qui permet au groupe d’extorsion d’interrompre les négociations de rançon menées par ses partenaires avec les victimes du malware REvil (également connu sous le nom de Sodinokibi) et de poursuivre les négociations lui-même.

Les chercheurs en sécurité décrivent le modèle commercial de groupes de pirates comme REvil et Darkside comme un service de logiciels rançonneurs (Ransomware-as-a-Service). Les groupes de pirates louent les logiciels malveillants qu’ils développent et l’infrastructure de décryptage et de paiement associée à d’autres criminels, appelés affiliés ou partenaires. Dans le cas de REvil, les bailleurs de fonds reçoivent en contrepartie 30 % des revenus des partenaires. Dans le passé, il est toutefois arrivé à plusieurs reprises – par exemple dans le cas du gang Darkside – qu’un tel gang détourne des paiements ou escroque ses partenaires d’une autre manière. Comme le dit le proverbe anglais : Il n’y a pas d’honneur parmi les voleurs.

Le tribunal des hackers siège

Comme l’indique le site d’information géré par le fabricant d’antivirus Kaspersky ThreatPost les anciens partenaires de REvil portent de graves accusations contre le groupe de ransomware à la suite de son retour. À cette fin, ils ont convoqué une « cour des pirates » : Il s’agit d’une sorte de fil de discussion strictement réglementé dans un forum clandestin où les membres peuvent porter des accusations contre d’autres membres du forum.

On peut se demander si ces discussions aboutissent réellement à ce que les membres frauduleux de ces communautés clandestines soient punis ou remboursent l’argent prétendument dû. Mais le procès du « tribunal des pirates » va sans aucun doute nuire à la réputation du gang REvil, ce qui pourrait affecter leur retour. Les criminels n’ont pas d’honneur, mais la réputation d’un homme d’affaires est tout, même dans cet environnement.

Backdoor et Double Chat

Selon les allégations, les tireurs d’élite de REvil ont construit une porte dérobée dans leur infrastructure de logiciels malveillants qui leur permet de prendre le contrôle des logiciels malveillants, ou des fonctions de décryptage des logiciels malveillants, loin de leurs partenaires. Ils semblent également avoir la capacité d’intervenir dans les conversations des criminels avec leurs victimes (connues dans ces milieux sous le nom de double chat).

Les tireurs de fil REvil sont ainsi intervenus dans les négociations de rançon de manière presque perfide, disent leurs partenaires. Pendant que les partenaires discutaient avec les victimes via la plateforme REvil et négociaient la rançon pour leurs fichiers cryptés, les membres du gang REvil se seraient infiltrés dans la discussion et auraient envoyé des messages aux deux parties en tant qu’homme du milieu, pour ainsi dire. Alors qu’ils ont laissé entendre à leurs partenaires, au nom des victimes, qu’ils ne voulaient pas payer de rançon et que les négociations étaient terminées, ils ont eux-mêmes repris les négociations avec les victimes et ont fini par percevoir la totalité de la rançon – au lieu des 30 % auxquels ils avaient réellement droit.

Comme les partenaires de ces gangs de ransomware supportent une grande partie du risque, car ce sont eux qui doivent placer le code malveillant dans les réseaux des victimes, ils sont naturellement furieux lorsqu’ils sont privés de ce qu’ils considèrent comme leur salaire durement gagné. Les chercheurs en sécurité et les victimes des groupes de chantage sont toutefois probablement plutôt amusés par le drame qui se joue dans le milieu des pirates informatiques. Avec un peu de chance, la réputation du gang REvil sera tellement entachée que, tôt ou tard, il disparaîtra de la scène. Cependant, même si l’on se réjouit de l’infortune des criminels, l’expérience nous enseigne que, dans ce cas, une nouvelle bande prendra probablement la place des escrocs évincés.

(fab)