Les représailles du pouvoir américain après la cyberattaque contre Colonial Pipeline a laissé des traces. Deux forums très utilisés par les gangs de cybercriminels pour recruter des hackers ont banni les rançongiciels des discussions.

L’affaire Colonial Pipeline semble avoir semé un léger vent de panique dans le milieu cybercriminel. Le blocage de ce grand oléoduc américain le 7 mai 2021 par le rançongiciel Darkside a attiré une attention médiatique rare. En conséquence, le président Joe Biden s’est lui-même saisi du sujet, et toutes les plus hautes instances de la cybersécurité américaine sont intervenues dans la contre-offensive.

Résultat, une semaine après la cyberattaque, le gang Darkside a pratiquement disparu du web. Si ce démantèlement n’a pour l’instant pas été revendiqué par les autorités, c’est une des pistes les plus probables. Le Bleeping Computer a obtenu un message envoyé par les opérateurs de Darkside à leurs affiliés (des hackers sous-traitants chargés de lancer les attaques).

Darkside n’est plus. // Source : Star Wars, épisode VI : le retour du jedi

Ils expliquent avoir décidé l’arrêt de leur activité « en raison de la pression venue des États-Unis ». Concrètement, les cybercriminels ont perdu l’accès à des serveurs de leur site, qui n’est depuis plus accessible aux visiteurs bien que toujours consultable en interne. D’après les malfrats, leur service d’hébergement a simplement indiqué que leurs serveurs ont été mis hors ligne « à la demande des forces de l’ordre ».

Décidé à montrer patte blanche, Darkside a aussi annoncé qu’il distribuerait gratuitement les outils de déchiffrement à ses affiliés, afin qu’ils les donnent aux victimes qui n’ont pas encore payé. « Au vu de ce que nous venons de dire, et face à la pression des États-Unis, le programme affilié est fermé », conclut le gang. Autrement dit, Darkside ne fera plus appel à des hackers partenaires pour diffuser son rançongiciel — et il n’essaierait vraisemblablement de ne plus l’utiliser du tout. Du moins, jusqu’à nouvel ordre.

Les forums bannissent les rançongiciels pour se préserver

Après ce coup de pression des autorités contre Darkside, c’est tout un pan de l’écosystème cybercriminel qui a décidé de faire profil bas. Les gangs rançongiciels avaient pour habitude de recruter leurs affiliés et de mettre en avant leur activité sur plusieurs forums de hackers accessibles sur l’internet classique. Deux forums russophones, XSS et Exploit, étaient devenus des repaires réputés, où les hackers malveillants à la recherche de partenariats avec des rançongiciels avaient de grandes chances de trouver leur bonheur.

Avant même que Darkside passe hors ligne, XSS annonçait le bannissement de tous les sujets liés aux rançongiciels. « Le mot ‘rançon’ est maintenant assimilé à trop de notions désagréables », justifiait l’administrateur du site, tout en maugréant que les rançongiciels attiraient « trop de relation presse ». Le lendemain, c’était au tour d’Exploit d’exclure les publicités pour les rançongiciels. « Nous ne sommes pas contents avec les lockers [malware de chiffrement, ndlr] — ils attirent beaucoup d’attention », rouspétaient-ils.

Comment ça ? Les rançongiciels c’est mal ? 😮 // Source : Sarcastically Kirk Meme

Les administrateurs de ces forums font mine de découvrir que les rançongiciels n’épargnent aucune organisation et qu’ils utilisent des méthodes d’extorsion de plus en plus vicieuses. Alors que c’est le cas depuis plus de deux ans. En résumé, ils essaient clairement de se détacher d’une activité cybercriminels qui a fait leur succès, mais qui pourrait les mener à leur perte si les autorités les tiennent en partie responsables des méfaits.

Ces deux bannissements successifs amènent à une question : où les rançongiciels vont-ils pouvoir continuer à recruter des affiliés ? REvil, l’un des principaux gangs a réagi au bannissement de XSS en disant qu’il ferait ses annonces sur Exploit… Raté. Il a donc annoncé qu’il passerait en « privé » pour quelque temps, c’est-à-dire qu’il ne travaillerait plus qu’avec des affiliés expérimentés, en qui il a confiance. D’après CNN, l’attaque contre Colonial Pipeline serait le fait d’un affilié très peu expérimenté de Darkside. Généralement, les malfaiteurs évitent de s’en prendre aux cibles qui pourraient mobiliser les plus hautes autorités.

Et ce n’est pas tout, les opérateurs REvil, qui ne modéraient jusqu’ici pas la sélection des cibles, ont annoncé qu’il faudrait désormais leur aval pour toute attaque. En plus, certaines cibles sont interdites systématiquement : celle du secteur social (santé, éducation…), et celles liées aux gouvernements. Des promesses en l’air, ou de vrais engagements ?

Crédit photo de la une : Pretends to be shocked meme

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux