Comment McAfee a découvert un gang lié à la cybercriminalité

Qu’est-ce qui motive les cybercriminels à cibler et attaquer les entreprises et les entités gouvernementales ? La réponse évidente est l’argent. Cependant, y a-t-il plus que cela ? En tant que société de cybersécurité, nous voulions savoir, et nous avons adopté une approche unique et directe pour obtenir cette réponse : Nous avons interrogé les cybercriminels eux-mêmes !

Un pas en avant :

Mais d’abord, comment les trouver ? Nous aurions pu chercher ces cybercriminels sur les forums mais cela aurait pris du temps et les chances étaient minces de trouver la bonne personne. Nous avons donc sélectionné des échantillons de ransomware récents et avons examiné les notes jointes aux demandes de rançon, qui, comme la plupart de ces notes indiquaient l’adresse e-mail où envoyer le paiement et même un e-mail en cas d’éventuelles questions.

Nous avons examiné des mois d’échantillons uniques de ransomware et en avons extrait les images ou bien les notes contenant les adresses de contact. Au fur et à mesure que de nouvelles familles de ransomwares surgissaient dans notre tracker, nous les vérifiions et ajoutions les adresses – parce que de nouvelles attaques rendaient probable l’interaction des auteurs avec nous.

Après avoir accumulé ces adresses, nous avons envoyé des courriels pour leur demander s’ils accepteraient de répondre à quelques questions. Chose intéressante, lorsque nous avons envoyé ces courriels, nous avons constaté que 30% des adresses étaient fausses ou inexistantes. Ainsi, dans les cas où les fichiers avaient été cryptés et où les victimes avaient décidé de payer, l’utilisation du courrier électronique pour envoyer la preuve du paiement était inutile. L’argent avait disparu (ainsi que les fichiers).

Au cours de la première semaine de recherche, nous avons reçu des réponses de certains cybercriminels, mais la plupart n’étaient pas disposés à coopérer, de peur de révéler leur identité. Et cela n’a pas été une surprise…

Nous avons eu néanmoins plus de chance au cours de la deuxième semaine de recherche et avons commencé à échanger avec certains d’entre eux. Ce nombre a augmenté, et après quelques semaines nous avons eu un grand nombre de conversations.

Rapide, facile et sûr

Quand nous leur avons demandé pourquoi ils avaient commencé une carrière dans les ransomwares, la plupart ont répondu « rapide, facile et sûr », surtout en utilisant des services de messagerie anonyme et crypto-monnaie pour les paiements.

 


 

Ne payez jamais la rançon 

Pour réduire le risque de récupération de ransomware : maintenez votre système d’exploitation, votre sécurité et votre logiciel d’application à jour ; sauvegardez régulièrement les données stockées sur votre ordinateur ; exercez une bonne dose de scepticisme même lorsque vous voyez des messages qui semblent provenir de sources légitimes ; et ne cliquez pas sur des liens ou des fichiers ouverts à partir de noms ou d’organisations inconnus.

> Si vous êtes infecté, ne payez pas la rançon <<

Comme nous l’avons vu avec nos recherches, il est probable que vous ne récupérerez pas vos fichiers. De plus, votre paiement aidera à financer la prochaine attaque des cybercriminels.Signalez l’infection aux autorités et visitez le site : NoMoreRansom.org pour voir si un outil de décryptage est disponible. 

 


Ils préfèrent développer leurs propres codes

La plupart des cybercriminels avec lesquels nous avons discuté ont écrit leur propre ransomware. Ils avaient regardé le code source publié, mais étaient assez intelligents pour trouver leurs propres variantes qui contenaient de nouvelles techniques ou des approches différentes pour maintenir les détections à un niveau bas. Plus ils restent longtemps hors de vue des solutions de sécurité des terminaux, plus leur opportunité de gagner de l’argent grandit.

Dépenser leurs gains mal acquis

Nous avons constaté qu’ils dépensaient les revenus tirés de leurs campagnes de diverses manières : voyages, voitures etc. L’une des personnes interrogées avait de nombreux affiliés qui travaillaient pour lui et prévoyait d’acheter une maison. L’une des réponses les plus surprenantes était de « rembourser des dettes ».

Prêt à négocier

Bien qu’ils aient souvent l’image d’être impitoyables, presque tous revendiquaient une volonté de négocier le prix de la rançon si la victime ne pouvait pas se permettre de payer le montant demandé.

 …..

Suivre les auteurs

L’un des cybercriminels nous a précisé qu’il n’envoyait pas seulement des ransomware, mais qu’il vendait aussi des botnets et d’autres services liés à la fraude. Il était ouvert à la discussion, alors nous avons continué la conversation. Ainsi, nous avons appris qu’il n’était pas un cybercriminel très expérimenté puisse qu’il a malgré lui donné des indices sur ses allées et venues. Dans l’une de nos conversations, il a partagé quelques exemples avec nous, mais il avait oublié de nettoyer des données. En corrélant les données qu’il a fournies avec d’autres informations, telles que les fuseaux horaires et les erreurs dans son anglais, nous l’avons suivi jusqu’à Dakar au Sénégal.  

Une expérience révélatrice

Une des conclusions intéressantes était que les cybercriminels ont un sentiment de sécurité absolue lorsqu’ils mènent des opérations criminelles. La cybercriminalité est un crime pas comme les autres, perçue comme étant à faible risque et à rendement élevé, ce qui contribue à sa croissance rapide. Cependant, c’est une pensée erronée. Les organismes d’application de la loi du monde entier font équipe avec des établissements universitaires et des sociétés de cybersécurité, y compris McAfee, pour éliminer ces personnes. En 2016, une vaste campagne de spam a frappé les Pays-Bas. Les fichiers ont été chiffrés et des notes de rançons sont apparues. L’unité hollandaise de haute technologie a entamé une enquête et a demandé l’aide de l’équipe « McAfee Advanced Threat Research » pour aider à identifier les échantillons et répondre aux questions. Nous avons pu déterminer que les criminels à l’origine de cette campagne aux Pays-Bas étaient également responsables de la diffusion de ransomware dans toute l’Europe et aux États-Unis. Plus important encore, nous avons pu déterminer que ces acteurs opéraient en Roumanie.

Les arrestations

À la mi-décembre 2017, les autorités roumaines ont fait irruption dans les maisons où travaillaient les suspects et ont arrêté trois individus pour avoir prétendument répandu le ransomware

CTB Locker.

Au cours de cette opération d’application de la loi appelée « Bakovia », six maisons ont été fouillées, les enquêteurs ont saisi une quantité importante de disques durs, ordinateurs portables, stockages externes, plates-formes de crypto-monnaies et des centaines de cartes SIM. Dans une enquête parallèle sur les rançongiciels, deux autres suspects du même groupe criminel ont été arrêtés à l’aéroport de Bucarest.

 

Posts associés

Recevoir les informations

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pour en savoir plus sur notre politique en matière de protection des données, lisez notre Charte de confidentialité.