Opération Raccoon : le FBI veut la peau d’un raton laveur pirate Ukrainien

Posted On 26 Oct 2022

Tag: Raccoon, Raccoon Infostealer, raccoon stealer, Sokolovsky

Raccoon Stealer : le FBI, le département de la Justice, l’Internet Crime Complaint Center et la division des investigations criminelles de l’US Army veulent la peau d’un pirate Ukrainien. Le hacker est accusé d’avoir permis le piratage de plus de 50 millions de données dans le monde !

Opération Raccoon, voilà la nouvelle mission des autorités américaines. Derrière cet animal, un pirate informatique Ukrainien bloqué en prison, au Pays-Bas. L’homme, Mark Sokolovsky, 26 ans, (connu dans son milieu sous le pseudonyme de Dark Green/Noir Vert/Green Light) est accusé d’être derrière le logiciel pirate Raccoon Stealer. Le logiciel a permis l’infiltration et l’exfiltration de dizaines de millions de données privées appartenant à des internautes piégés. Un rôle présumé « dans une opération internationale de cybercriminalité […] qui a infecté des millions d’ordinateurs dans le monde avec des logiciels malveillants. » indique le Département de la Justice US (DoJ).

Selon des documents judiciaires, Sokolovsky, qui est actuellement détenu aux Pays-Bas à la suite d’une demande d’extradition des États-Unis. Autant dire que, comme je vous l’expliquais sur Twitch, dans la cyber émission ZATAZ, chaque soir de 19h à 20h, le gars risque de visiter les murs d’une prison fédérale Texan assez rapidement. Le tribunal de district d’Amsterdam a rendu une décision le 13 septembre 2022, accordant l’extradition de l’accusé vers les États-Unis. Sokolovsky a fait appel de cette décision.

malware-as-a-service

Ce logiciel pirate est, à l’image de ceux existant pour les ransomwares, un malware-as-a-service ou « MaaS ». Comprenez que Sokolovski louait l’arme numérique à d’autres malveillants. Il était loué pour environ 200 $ par mois, payés par crypto-monnaie. ZATAZ avait pu repéré, en 2019, année de son lancement, des tests possibles pour 75 dollars pour une semaine.

En mars 2022, parallèlement à l’arrestation de Sokolovsky par les autorités néerlandaises, le FBI et ses partenaires chargés de l’application de la loi en Italie et aux Pays-Bas ont démantelé l’infrastructure numérique soutenant le Raccoon Infostealer, mettant hors ligne sa version alors existante.

Bien qu’un nombre exact n’ait pas encore été vérifié, les agents du FBI ont identifié plus de 50 millions d’informations d’identification et de formes d’identification uniques (adresses e-mail, comptes bancaires, adresses de crypto-monnaie, numéros de carte de crédit, etc.) dans les données volées à partir de ce qui semble être millions de victimes potentielles dans le monde. Les informations d’identification semblent inclure plus de quatre millions d’adresses e-mail.

Le FBI ne pense pas être en possession de toutes les données volées par Raccoon Infostealer et continuent d’enquêter.

S’il est reconnu coupable, Sokolovsky encourt une peine maximale de 20 ans de prison pour les infractions de fraude électronique et de blanchiment d’argent, cinq ans pour le complot en vue de commettre une accusation de fraude informatique et une peine consécutive obligatoire de deux ans pour l’infraction de vol d’identité aggravée, soit 27 ans de prison !

Raccoon Stealer

Le malware Raccoon Stealer pouvait être diffusé de plusieurs manières, bien qu’il infecte le plus souvent ses victimes par le biais de kits d’exploitation, d’attaques de phishing et de logiciels malveillants associés.

Les kits d’exploitation exploitent automatiquement les vulnérabilités de l’ordinateur de la victime lorsqu’il navigue sur le Web. Si un utilisateur visite une page malveillante en surfant sur Internet, il peut être redirigé vers une autre page de destination contenant un code d’exploitation, souvent exécuté sans son consentement ou toute autre interaction de la part de l’utilisateur.

Pour fournir du code Raccoon malveillant à l’ordinateur d’une victime, les attaquants utilisent le kit d’exploitation Fallout pour créer une instance PowerShell à partir d’Internet Explorer, puis téléchargent la charge utile principale du voleur Raccoon.

Le phishing a été fortement exploité pour diffuser ce code malveillant. De faux document Office « Oops, something went wrong » exécuté via des macros particulièrement forgés.

Beaucoup de chercheurs pensaient que l’auteur de Rancoon était Russe. Une faute de frappe dans le logiciel et un peu de désinformation auront suffit à ne pas regarder vers ce pirate ukrainien.

Le voleur Raccoon collectait les informations système de la machine infectée, y compris le nom d’utilisateur, l’adresse IP, les paramètres de langue, la version du système d’exploitation, les informations sur les applications installées et les informations sur le processeur et la mémoire, ainsi que les mots de passe, etc. Retrouvez des exemples de ce type de vol ICI et là.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.