histats

Jeux d’esprit malveillants : pourquoi les cybercriminels simulent des attaques de rançongiciels

Jeux d’esprit malveillants : pourquoi les cybercriminels simulent des attaques de rançongiciels

Les rapports sur les méfaits des cybercriminels sont grandement exagérés. Des gangs notoires tels que Lapsus$ et LockBit ont été pris en flagrant délit de simulation de cyberattaques massives. Qu’en est-il pour eux ?

Avec une attaque de ransomware moyenne coûtant à une entreprise 1,4 million de dollars en 2021, il n’est pas difficile de comprendre pourquoi les cybercriminels sont dans cette activité lucrative. Mais le profit n’est pas toujours l’objectif final des pirates – c’est pourquoi ils simulent parfois leurs attaques.

Examinons trois cas où de célèbres gangs de rançon ont fait la une des journaux en prétendant à tort avoir piraté de grandes entreprises et découvrons ce qu’ils en ont retiré.

Clop : comment devenir célèbre en un hack imaginaire

Clop est devenu un gang de rançongiciels au cours des deux dernières années, utilisant des méthodes d’extorsion à plusieurs niveaux dans ses attaques et obtenant illégalement environ 500 millions de dollars des victimes. Cependant, ils sont encore relativement nouveaux et de petits visages parmi les groupes de rançongiciels, ce qui rend les cascades de relations publiques encore plus précieuses pour eux.

Plus tôt ce mois-ci, Clop a déclaré avoir piraté l’une des plus grandes sociétés énergétiques du Royaume-Uni (desservant plus de 15 millions de clients) connue sous le nom de Thames Water.

Le gang de rançongiciels Clop a annoncé avoir passé “des mois” dans les systèmes de l’entreprise et avoir vu “des preuves de première main de très mauvaises pratiques”. Selon eux, ils ont pu accéder aux PII, passeports, permis de conduire, pièces d’identité et peuvent potentiellement modifier la composition chimique de l’approvisionnement en eau de l’entreprise.

“Clop n’est pas une organisation politique, et nous n’attaquons pas les infrastructures critiques ou les organisations de santé. Nous décidons de ne pas chiffrer cette entreprise, mais nous leur montrerons que nous avons accès à plus de 5 To de données”, a déclaré le groupe dans un communiqué.

Le groupe a poursuivi en affirmant qu’il s’attendait à un paiement pour savoir ce qui devait être réparé, mais qu’il ne l’avait pas reçu parce qu'”il ne souhaitait pas réparer”.

Thames Water a ensuite nié les allégations, affirmant qu’elle ne faisait pas face à une cyberattaque.

Il est apparu qu’un autre fournisseur d’eau était affecté par Clop – South Staffordshire PLC (la société mère de South Staffs Water et Cambridge Water) avec plus d’un million de clients. Sur la base des captures d’écran présentées, il devient tout à fait clair que les utilisateurs concernés appartiennent à South Staffordshire PLC, ce qui rend peu probable que le groupe ait accidentellement mal identifié sa cible.

On ne sait toujours pas comment une telle erreur d’identification a pu se produire en premier lieu. Nous ne pouvons que supposer que Clop a décidé d’utiliser un nom plus grand pour attirer l’attention sur le hack et sur le groupe lui-même.

Lapsus$ : beaucoup de bruit pour rien ?

Lapsus$ est un nom relativement bien connu dans le secteur de la cybersécurité. Entre décembre 2021 et mars 2022, le groupe a réussi à cibler plus de 15 entreprises en Amérique latine et au Portugal, à supprimer 50 téraoctets de données COVID-19 stockées sur les serveurs du ministère brésilien de la Santé et à poursuivre des géants de la technologie tels que Samsung.

Ce qui les distingue, c’est leur approche différente des attaques malveillantes.

“Contrairement à la plupart des groupes d’activités qui restent sous le radar, DEV-0537 [Lapsus$] ne semble pas couvrir les pistes », a noté Microsoft.

Pourtant, dirigé par un adolescent vivant au Royaume-Uni, le groupe tombe souvent dans le piège de la notoriété, ce qui les amène à exagérer l’impact de leurs campagnes.

En mars, Okta, une société de gestion des identités et des accès basée à San Francisco qui dessert environ 15 000 clients, a annoncé qu’elle enquêtait sur un rapport de violation.

Le rapport suggère que les acteurs de la menace ont eu accès au compte d’un ingénieur de support technique et pourraient désormais potentiellement mettre les clients en danger. Des captures d’écran ont fait surface à partir d’un groupe de hackers Lapsus$, qui a revendiqué la responsabilité du piratage. Ces captures d’écran indiquent que le groupe peut réinitialiser le mot de passe d’un utilisateur et peut-être même accéder à l’espace de travail Slack d’Okta.

Les inquiétudes étaient fortes à l’époque. La violation a non seulement ébranlé la confiance dans la sécurité d’Okta, mais a également suscité des inquiétudes chez ses nombreux clients, y compris d’autres plates-formes technologiques.

Au fur et à mesure que les événements se déroulaient, il est devenu clair qu’Okta était déjà au courant du piratage deux mois avant la publication des captures d’écran.

“Fin janvier 2022, Okta a découvert une tentative de compromission du compte d’un ingénieur de support client tiers travaillant pour l’un de nos sous-traitants. L’affaire a fait l’objet d’une enquête et a été maîtrisée par le sous-traitant ultérieur.”

“Nous pensons que les captures d’écran partagées en ligne sont liées à cet événement en janvier. Sur la base de notre enquête à ce jour, il n’y a aucune preuve d’activité malveillante en cours au-delà de l’activité détectée en janvier”, a déclaré Okta à Cybernews par courrier électronique.

Selon Okta, des captures d’écran ont été prises à partir d’un ordinateur utilisé par les ingénieurs de support de Sitel, un client tiers d’Okta, auquel Lapsus$ a eu accès pendant cinq jours. Lapsus$, pour sa part, a faussement affirmé avoir eu accès aux systèmes pendant deux mois et que des captures d’écran reflétaient le contenu du système interne d’Okta.

“Les acteurs cybercriminels effectuent souvent des exercices de relations publiques pour renforcer leurs revendications. Pour Lapsus$, cela a été mis en évidence par plusieurs des messages initiaux du groupe disant : « vous avez subi une attaque de ransomware », a déclaré Chris Morgan, analyste principal du renseignement sur les cybermenaces chez Digital Shadows.

Il s’est avéré que seuls 366 (environ 2,5 %) des clients d’Okta ont été touchés par la violation, qui n’a apparemment duré que 25 minutes. Pendant ce temps, Lapsus$ n’a pas été en mesure de s’authentifier directement auprès des comptes clients ou d’apporter des modifications à la configuration, selon Okta.

L’affaire Lapsus$ s’est avérée être plus une campagne de désinformation qu’autre chose. En publiant stratégiquement des captures d’écran avec des légendes passionnantes, le groupe a réussi à attirer beaucoup d’attention sur ce qui avait été initialement annoncé comme “une brèche catastrophique”.

LockBit : faites semblant d’envoyer le message

LockBit fait la une des journaux depuis son lancement en 2019 sous le nom “ABCD”, devenant finalement l’un des groupes de ransomwares les plus prolifiques de la pègre cybernétique. Des milliers d’attaques orchestrées par le gang ont frappé plusieurs pays et une variété d’industries. Mais même LockBit n’a pas hésité à simuler certains de leurs hacks.

En juin dernier, LockBit a affirmé avoir piraté la société américaine de cybersécurité Mandiant, avoir eu accès à des systèmes internes et volé 356 841 fichiers pour les divulguer en ligne.

Mandiant a répondu en disant qu’il examinait les affirmations, mais n’avait pas encore de preuve qu’elles étaient vraies.

LockBit a promis de publier les fichiers le jour même. Cependant, les données finalement publiées n’étaient pas liées à Mandiant et ne contenaient qu’une déclaration distanciant le groupe d’Evil Corp, un groupe de rançongiciels basé en Russie sanctionné par les États-Unis.

La déclaration liée au blog de Mandiant publié plus tôt cette semaine, qui liait LockBit à Evil Corp. LockBit a fait valoir que même s’ils utilisent certains des mêmes outils, ce fait ne peut à lui seul constituer une preuve de leur association.

“Notre groupe n’a rien à voir avec Evil Corp. Nous sommes de vrais hackers clandestins du darknet, nous n’avons rien à voir avec la politique ou des services spéciaux comme le FSB, le FBI, etc.”, a déclaré la déclaration de LockBit publiée dans une supposée fuite.

Tout s’est avéré être un coup de pub soigneusement orchestré. Mais qu’est-ce que LockBit ?

Evil Corp figure sur la liste des sanctions du département du Trésor américain depuis 2019 pour avoir utilisé le logiciel malveillant Dridex pour voler 100 millions de dollars dans 40 pays du monde. De plus, le département d’État américain offre une récompense de 5 millions de dollars pour des informations sur Maksim Yakubets, membre d’Evil Corps. Pour sa part, LockBit n’est pas sous sanctions, bien qu’il soit définitivement sur un terrain fragile, et le FBI a émis des avertissements à ce sujet en février.

Par conséquent, malgré le fait que payer des rançons n’est pas illégal dans la plupart des pays, les verser à un groupe associé à Evil Corp aurait pu mettre fin à la “légalité grise” des opérations de LockBit.

“>


Plus de Cybernews :

Le service de santé publique britannique touché par un ransomware

2 millions de patients touchés par une cyberattaque contre un établissement de santé

Les acteurs de la menace nord-coréens ciblent le secteur de la santé

Les hôpitaux sont un choix sûr pour les gangs de rançon

Abonnez-vous à notre newsletter

See also  Les gens investissent des milliers de dollars dans le jeu virtuel de déménagement pour gagner WingStep

You may also like...

Leave a Reply

Your email address will not be published.