Babuk, un gang de ransomwares, affirme que la police métropolitaine de DC était le dernier câlin – puis devient sombre

  • FrançaisFrançais


  • Babuk – le gang de ransomware prétendument russophone ciblant le département de la police métropolitaine de DC – a publié sur le Web sombre un message indiquant qu’il était en train de fermer, seulement pour inverser le cours et retirer le message du site. (Alex Smith / CC0 1.0)

    Babuk – le gang de ransomwares prétendument russophone ciblant le département de la police métropolitaine de DC – a publié sur le Web sombre un message indiquant qu’il était en train de fermer, seulement pour inverser le cours et retirer le message du site.

    L’affaire du département de police de DC a éclaté plus tôt cette semaine, avec des informations selon lesquelles Babuk avait infiltré les réseaux du département et menacé de rendre publiques des informations confidentielles, y compris des noms d’informateurs présumés de membres de gangs et des renseignements issus de séances d’information sur la criminalité.

    Des experts en sécurité ont publié plus tôt dans la journée des captures d’écran sur Twitter de la note de Babuk:

    «Nous sommes heureux de vous informer que PD était notre dernier objectif, c’est seulement maintenant qu’ils déterminent si la fuite sera ou non, dans tous les cas quel que soit le résultat des événements avec PD, le projet Babuk sera fermé, ses codes sources seront rendu public, nous ferons quelque chose comme Open Source RaaS, chacun peut créer son propre produit basé sur notre produit et terminer avec le reste du RaaS. »

    SC Media a contacté des experts en sécurité aujourd’hui pour obtenir leur avis sur cette décision de Babuk. Ont-ils été effrayés par l’attention et ont-ils décidé qu’ils étaient trop profonds? Feraient-ils ce que Maze a fait à la fin de l’année dernière et fermeraient-ils seulement pour refaire surface en tant qu’Egregor? Ou cherchaient-ils simplement à confondre les autorités?

    Stefano De Blasi, chercheur sur les menaces chez Digital Shadows, a déclaré que la décision de Babuk était une surprise à un moment historique où les groupes de ransomwares deviennent de plus en plus audacieux. De Blasi a déclaré que les opérateurs de Babuk avaient probablement déclaré leur retraite du secteur des ransomwares parce que l’attaque contre la police de DC avait attiré trop d’attention à la fois des médias et – surtout – des forces de l’ordre. Il a déclaré qu’au cours des derniers mois, Digital Shadows a observé d’autres acteurs du ransomware – tels que l’équipe du ransomware Ziggy – arrêter leurs opérations de manière préventive pour éviter de graves actions répressives.

    Dans le même temps, les opérateurs de Babuk se sont peut-être rendus compte qu’il était hautement improbable qu’ils obtiennent la rançon demandée d’un organisme d’application de la loi américain.

    “Un autre point à noter est que les groupes de ransomwares, et les cybercriminels en général, ne sont pas nouveaux pour revendiquer quelque chose et agir ensuite de manière opposée”, a déclaré De Blasi. «Par exemple, lorsque la pandémie COVID a frappé au début de 2020, plusieurs groupes de ransomwares sont sortis alléguant des intentions ‘éthiques’, comme éviter de cibler les secteurs de la santé et de l’éducation. Nous n’avons pas eu à attendre longtemps avant d’observer ces mêmes groupes menaçants agir exactement de la manière opposée. Ainsi, les allégations de fermeture de Babuk devraient être prises avec une pincée de sel, et les autorités devraient toujours surveiller attentivement leurs actions. Comme ce groupe criminel déclare avoir l’intention de partager son code source avec le public, nous continuerons probablement à discuter de l’activité de Babuk à l’avenir d’une manière ou d’une autre.

    Chad Anderson, chercheur senior en sécurité chez DomainTools, doute que Babuk fermera ses portes après un peu plus d’un an de fonctionnement, en particulier après avoir réussi à infiltrer une cible aussi importante.

    «Le montant d’argent que gagnent ces groupes de ransomwares est énorme et une cible comme un grand service de police de métro est non seulement potentiellement lucrative – car ils ne peuvent pas se permettre de temps d’arrêt – mais aussi très utile comme moyen de s’introduire dans d’autres réseaux», a déclaré Anderson. «La technologie policière englobe JMS, EMS, RMS et des dizaines d’autres services. Un seul ministère est susceptible d’avoir des dizaines de fournisseurs qui approvisionnent également des dizaines d’autres juridictions. Si je devais deviner, Babuk ne recule pas ici, mais cherche sa prochaine évolution. Aucun cybercriminel ne quitte une industrie aussi lucrative alors qu’elle a été si efficace au cours de l’année dernière. »

    Un certain nombre de services de ransomware – comme GandCrab – ont pris leur retraite après avoir été identifiés et suivis pendant un certain temps, a noté Jeff Barker, vice-président du marketing produit chez Illusive. Plus les services de ransomware sont actifs, plus les informations de détection des menaces sont disponibles et plus la probabilité que les enquêteurs du gouvernement et de l’entreprise puissent les connecter à leur source / bailleur de fonds est grande.

    «Il est logique que les services de ransomware soutenus par des acteurs des États-nations veuillent éviter l’attribution et continuer à retirer régulièrement les services existants et à en lancer de nouveaux», a déclaré Barker.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *