Détournement des paiements : l’auteur d’un ransomware piraté

L’arroseur arrosé ! Découverte du détournement des paiements liés à la cyberattaque d’un ransomware. Le pirate s’est fait pirater son service malveillant.

Des pirates ont réussi le détournement des paiements effectués par des victimes d’un logiciel de rançonnage. C’est les chercheurs de chez Proofpoint qui ont découvert le pot-aux-roses. Les pirates « hackent » le système mis en place par un autre malveillant. Ce dernier avait lancé son ransomware et se faisait payer, via une page dédiée, en Bitcoin. Bilan, les « concurrents » ont trouvé le moyen de détourner les sommes réclamées par le ransomware. Les bitcoins sont envoyés vers leurs propres portefeuilles en modifiant la source des pages Web utilisées pour le paiement. Ils ont remplacé les adresses Bitcoin contrôlées par l’auteur du ransomware.

Par conséquent, les opérateurs de cette attaque et de détournement des paiements n’empêchent pas seulement les victimes du ransomware de déchiffrer leurs fichiers en payant une rançon, mais volent également les acteurs du rançonnage. Il semble qu’il s’agisse du premier système de ce type qui touche à la fois les victimes et les auteurs de ransomware. Même avec la volatilité récente du prix de la plupart des devises cryptographiques, en particulier le bitcoin, l’intérêt des utilisateurs reste élevé.

Dans le même temps, les alternatives bitcoins comme Monero et Ethereum poursuivent leur tendance à la hausse se plaçant ainsi dans la ligne de mire des acteurs menaçants à la recherche de profits rapides et de transactions anonymes. Le détournement des paiements ne fait que commencer.

Récemment, les mêmes chercheurs ont suivi le gigantesque réseau de robots Smominru, dont la puissance de calcul combinée avait rapporté des millions de dollars à ses opérateurs. Un code pirate qui a surtout touché l’Asie, Inde et Taïwan en tête, ainsi que la Russie, l’Ukraine et le Brésil.

Pendant ce temps… Gandcrab 2

A propos de rançonnage, ce 7 mars, l’auteur du ransomware-as-a-service GandCrab vient d’annoncer sur exploit.in, un espace Russe accessible que sur invitation, la sortie de la version 2 de son outil malveillant (Un exemple de ransomware-as-a-service). Il y a quelques jours, la version 1 de ce service pirate était stoppé par Europole et la police Roumaine. La première version de ce ransomware-as-a-service utilisait un serveur de contrôle dont le nom de domaine n’était pas autorisé de manière standard. Pour obtenir l’adresse IP de ce serveur, le ransomware exécutait la commande nslookup et cherchait les données nécessaires dans la sortie correspondant à la commande exécutée.

Autrement dit, impossible de déchiffrer les fichiers avant que plusieurs éditeurs d’antivirus, dont BitDefender, proposent le moyen de cracker le code. Le serveur de commande de GandCrab! 1 infiltré par les autorités.

Autrement dit, cette version 2 de Gandcrab chiffre dorénavant tous les fichiers situés sur le PC, sauf pour le système. Chiffrement du trafic, et dorénavant, il est aussi aléatoire (trafic morph). Gandcrab 2 est écrit en C++. Il utilise WinAPI. Le fichier piégé ne pèse que 69 Ko ! Côté chiffrement, AES avec une clé de 256 bits et le chiffrement de la clé se produit en utilisant RSA-2048.

La GandCrab Team a appris de ses erreurs

Premièrement, pas doute, la GandCrab Team a appris de ses erreurs. Lorsque vous éteignez ou redémarrez l’ordinateur piégé, GandCrab 2 commence à rechercher de nouveaux fichiers et supports amovibles. Un système baptisé « Canary » permet de contourner les outils anti-ransomware. Malin, les pirates ? Ils savent qu’ils risquent gros si leur outil malveillant s’attaquait à une entité Russe ou amie. Bilan, le logiciel pirate ne fonctionne pas dans les pays : RU, AM, AZ, BY, GE, KG, KZ, MD, TJ, TM, UA, UZ.

Ensuite, la page des victimes est consultable via le réseau TOR (.onion). Elle est également accessible à partir d’un navigateur WEB. Cela augmente le nombre de paiements. Un « tchat » propose de parler avec « son » pirate.

Enfin, après paiement, la victime reçoit le « décrypteur » et les instructions pour récupérer ses fichiers. En cas de non-paiement dans le temps imparti, le montant double automatiquement.

Pour conclure, et pendant ce temps, The GandCrab Team récolte un pourcentage de l’argent. , j’ai pu constater entre 20 et 40% de la somme ! Les utilisateurs, triés sur le volet. Les darknautes intéressés doivent contacter la team. Ils doivent fournir certaines informations, comme le trafic généré par le pirate loueur.