AccueilActualités informatiqueRecherche sur les rançongiciels : même les petits criminels peuvent faire carrière

Recherche sur les rançongiciels : même les petits criminels peuvent faire carrière

Les cybercriminels individuels, agissant de manière indépendante, peuvent souvent poursuivre leurs activités douteuses sans être dérangés et donc beaucoup plus efficacement que les grands groupes de ransomware connus, car l’attention des chercheurs en sécurité est principalement dirigée contre ces derniers. S’ils réussissent, ils peuvent également gravir les échelons dans le domaine de l’extorsion. Telles sont les conclusions des dernières recherches menées par l’équipe Advanced Threat Research (ATR) de McAfee.

Toutefois, comme les petits criminels n’ont pas accès aux derniers échantillons de logiciels malveillants et n’ont souvent pas les moyens financiers de se mettre à niveau, ils ne peuvent pas être considérés comme des partenaires de l’écosystème « Ransomware as a Service ». Alors comment s’emparent-ils d’une part du gâteau ? D’après les observations des chercheurs de McAfee, les petits exploitants de ransomwares tentent de rester à l’affût des dernières fuites de logiciels malveillants et de constructeurs et de les exploiter pour eux-mêmes.

Le Babuk Builder a été divulgué sur Twitter – et rapidement utilisé.

(Image : McAfee)

Les grandes bandes organisées, quant à elles, réinvestissent vraisemblablement la majeure partie de l’argent extorqué dans la construction et la maintenance de cyberoutils offensifs destinés à leur donner un avantage sur la concurrence dans le domaine lucratif de l’extorsion. C’est ce qu’indique, par exemple, la recherche par un opérateur du ransomware Babuk d’un exploit spécial de 0 jour pour l’accès à un VPN d’entreprise observé par McAfee.

Revenons aux « petits » : ils utilisent les fuites pour mettre la main sur les derniers logiciels malveillants – c’est ce qui s’est passé avec les récentes fuites du ransomware Babuk (figures 1 et 2). Ici, l’équipe d’ATR a observé deux stratégies. Les criminels, vraisemblablement moins compétents techniquement, ont simplement copié le constructeur et inséré leur propre adresse Bitcoin à la place de l’adresse étrangère dans la demande de rançon. Le deuxième groupe a construit ses propres versions de Babuk à partir du code source et a ajouté de nouvelles fonctions et de nouveaux packers.

Les criminels techniquement avertis peuvent construire leur propre logiciel d’extorsion à partir du code source publié dans la clandestinité.

(Image : McAfee)

Ainsi, même les opérateurs de ransomware « au bas de la chaîne alimentaire » peuvent encore tirer profit de l’extorsion de données, même s’ils n’empochent pas les sommes colossales des bandes organisées. Les chercheurs de McAfee sont tombés sur le cas d’un « acteur de ransomware mal payé » et ont enquêté sur sa « carrière » : il avait commencé avec un simple malware copié et des demandes de rançon de quelques centaines de dollars. Plus tard, il a extorqué des montants de plusieurs milliers de dollars avec au moins deux « fuites de constructeurs ».

Ainsi, avec leurs bénéfices plus modestes, ces acteurs peuvent également faire de nouveaux bonds en avant et gravir les échelons, affirment les chercheurs en sécurité. Les détails techniques des variantes de Babuk et la carrière de leur opérateur sont décrits dans un billet de blog de Thibault Seret, chercheur ATR chez MacAfee.

Plus d'articles