Les forums du site XSS accueillaient des messages de promotion pour les rançongiciels. Mais après l'attaque très médiatisée de Colonial Pipeline, le site a décider de bannir tout message lié aux rançons et aux cryptolockers.

Le 13 mai 2021, le site de hackers XSS a annoncé qu’il bannissait les discussions liées aux rançongiciels sur ses forums. Pourtant, la plateforme russophone — une des plus populaires — a bâti une large partie de sa réputation sur la participation des principaux gangs rançongiciel. REvil, Netwalker, Avaddon ou encore Lockbit y passaient leurs annonces de recrutement. Plus récemment, le gang Darkside en avait fait un de ses canaux de promotion.

Justement, difficile de ne pas relever la corrélation entre la nouvelle règle de modération du forum et l’opération des forces de l’ordre américaines contre Darkside. Le gang a touché l’infrastructure de Colonial Pipeline, le gestionnaire d’un des plus grands oléoducs du pays, et s’est attiré un niveau d’attention rare, au point que la Maison-Blanche en a fait un de ses principaux sujets de discussion ces derniers jours.

Le site XSS va bannir les discussions sur les rançongiciels. // Source : Capture d’écran

De son côté, l’administrateur d’XSS tente de dédouaner le forum de toute mauvaise intention. « Nous sommes un forum technique. Nous cherchons, nous apprenons, nous partageons notre savoir, nous écrivons des articles intéressants. L’objectif des rançongiciels est simplement de faire de l’argent. […] Nous ne sommes pas un marché ou une marketplace », écrit-il dans un message traduit du russe à l’anglais par le Bleeping Computer.

Plus loin dans son billet, il se plaint des dangers des publications liées aux rançons pour la pérennité du forum : «  Le mot ‘rançon’ est maintenant assimilé à trop de notions désagréables – géopolitique, extorsion, piratage gouvernemental. Ce mot est devenu dangereux et toxique ». L’administrateur regrette que le rançongiciel devienne politique et il blâme l’attitude des opérateurs : « Trop de relations presse. Les ransomwares ont accumulé une masse critique d’absurdités, d’inepties, de hype, de bruit ». Biden a demandé au gouvernement russe d’adresser l’impunité des cybercriminels sur les forums, dans un contexte déjà difficile entre les deux pays après l’affaire SolarWinds.

Les gangs migrent leurs discussions sur d’autres forums

Les gangs se servaient du forum pour proposer leurs services, mais surtout pour recruter des « affiliés ». Ce terme désigne des hackers triés sur le volet à qui les opérateurs de rançongiciel font fournir leur logiciel malveillant. Ils sont chargés d’infecter les victimes, puis les opérateurs prennent en charge la négociation de la rançon. Ces derniers garderont entre 20 et 40 % du butin et paieront leur affilié avec le reste.

Plusieurs gangs ont fait part de leur mécontentement. REvil, par exemple, a déjà annoncé qu’il déplacerait toute sa communication vers Exploit, un forum concurrent qui n’a pour l’instant pas suivi le même changement de modération que XSS.

Comme le rappelle The Record Media, il n’est pas rare que les forums de hackers bannissent certains sujets quand l’attention des forces de l’ordre se fait trop pressante. L’an dernier par exemple, deux forums plus petits où s’organisaient les zoombombings avaient fini par bannir tout message lié au service de visioconférence.

Il faudrait que le bannissement des sujets liés aux rançongiciels soit plus répandu pour qu’il ait un véritable effet sur cette industrie cybercriminelle, mais le changement de XSS prouve que les gangs ne sont pas tout-puissants.

Crédit photo de la une : Louise Audry pour Numerama.

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux