Quelles traces relient Dmitry Khoroshev au rançongiciel LockBit ?

Les autorités britanniques et états-uniennes, pas plus qu'Europol, n'ont expliqué comment elles étaient arrivées à identifier Dmitry Yuryevich Khoroshev comme le principal développeur et administrateur du rançongiciel LockBit.

• Le créateur du rançongiciel LockBit serait un Russe de 31 ans

Pour autant, relève le journaliste Brian Krebs, connu pour documenter la cybercriminalité, le département du Trésor lui a associé deux adresses e-mail, un portefeuille Bitcoin, deux numéros de passeport russe, sa date de naissance (17 avril 1993) et même son numéro d'identification fiscale.

Une recherche dans la base de données de Constella (un « data lake » de 1 trillion – soit un million de millions, ou 1 000 000 000 000 – d'actifs compromis) permet par ailleurs de découvrir de nombreux documents officiels du gouvernement russe liés à Dmitri Yurievich Khoroshev. On y trouve aussi deux adresses email ayant fait de la publicité pour la vente d'escaliers en bois (webmaster@stairwell.ru et admin@stairwell.ru), qui utilisaient le même mot de passe : 225948.

DomainTools indique que le site stairwell.ru a été rattaché pendant plusieurs années à un certain « Dmitrij Ju Horoshev » et à l'adresse électronique pin@darktower.su. Selon Constella, cette dernière a été utilisée en 2010 par un certain Dmitry Yurievich Khoroshev de Voronezh, en Russie, pour enregistrer un compte chez le fournisseur d'hébergement firstvds.ru.

De Khoroshev à Pin puis NeroWolfe

La société cyber intelligence Intel 471 indique pour sa part que cette adresse email a aussi été utilisée par un membre russophone appelé Pin sur le forum anglophone de cybercriminels Opensc. En mars 2012, alors que Khoroshev allait avoir 19 ans, il y avait rédigé 13 messages concernant principalement des problèmes de chiffrement de données, ou de corrections de bogues dans du code informatique.

D'autres messages évoquaient un programme que Pin prétendait avoir écrit pour contourner les protections de la mémoire sur les systèmes Windows XP et 7, et « injecter des logiciels malveillants dans l'espace mémoire normalement alloué aux applications de confiance sur une machine Windows ».

Pin était également actif à la même époque sur le forum de sécurité russophone Antichat, où il précisait pouvoir être contacté via le numéro de messagerie instantanée ICQ 669316.

Or, une recherche à partir de ce numéro ICQ sur Intel 471 montre qu'en avril 2011, un utilisateur du nom de NeroWolfe avait rejoint le forum russe de cybercriminels Zloy en utilisant l'adresse électronique d.horoshev@gmail.com, à partir d'une adresse IP à Voronezh, Koroshev venant alors tout juste d'avoir 18 ans.

Constella indique que le mot de passe lié à webmaster@stairwell.ru (225948) était également utilisé par l'adresse électronique 3k@xakep.ru, qui, selon Intel 471, a été enregistrée « sur plus d'une douzaine de comptes NeroWolfe sur autant de forums cybercriminels russes entre 2011 et 2015 », souligne Krebs. Xakep.ru étant, par ailleurs, un « hacker magazine » russe proposant à ses utilisateurs, notamment, un webmail.

NeroWolfe se présentait en octobre 2011, alors que Koroshev n'avait que 18 ans 1/2, comme un administrateur système et développeur C++« spécialisé dans le développement de logiciels malveillants, la création de vers informatiques et l'élaboration de nouveaux moyens de pirater des navigateurs web ». Il précisait qu'il pouvait aussi installer les malwares SpyEYE et ZeuS, ou « n'importe quel panneau d'administration de DDoS et de spam ».

À l'époque, le ransomware-as-a-service (RaaS) n'existait pas encore, mais de nombreux escrocs russophones gagnaient alors beaucoup d'argent avec des « lockers », des programmes « relativement rudimentaires » bloquant l'utilisateur hors de son système jusqu'à ce qu'il accepte de payer une rançon de quelques centaines de dollars via des cartes prépayées Green Dot.

En octobre 2013, NeroWolfe écrivit sur le forum de cybercriminels Exploit que ses membres « étaient tout aussi vulnérables aux attaques de ransomware que leurs victimes potentielles, et que l'on récolte ce que l'on sème », résume Krebs.

Khoroshev ne prenait alors guère de précautions en matière de sécurité opérationnelle (OPSEC), au point d'utiliser l'adresse électronique liée à de nombreux comptes de NeroWolfe sur les forums (3k@xakep.ru) pour créer en 2011 le compte d'un certain Dmitry Yurevich Khoroshev (qui avait donc alors 18 ans) sur Vkontakte, l'équivalent russe de Facebook.

Pour autant, NeroWolfe semble avoir abandonné tous ses comptes et activités sur les forums en 2016, alors que Koroshev avait 23 ans, après une plainte d'un membre d'exploit[.]ru affirmant qu'il avait été payé 2 000 dollars pour développer un code personnalisé, mais qu'il n'avait jamais terminé le projet et s'était même volatilisé.

De Putinkrab à LockBitSupp

L'acte d'accusation indique que Khoroshev est ensuite réapparu sous le pseudo de hacker Putinkrab. D'après Intel 471, il s'était enregistré pour la première fois sur trois forums cybercriminels russes majeurs au début de 2019 : XSS, Exploit et UFOLabs, alors que Khoroshev allait avoir 26 ans.

Dans ses premiers messages, Putinkrab vendait le code source d'un ransomware écrit en C, précisant que « chaque fichier est chiffré à l'aide de l'algorithme AES avec une clé unique, la clé est chiffrée à l'aide de l'algorithme RSA et ajoutée à la fin du fichier », et qu'il se rémunérait en récupérant 20 % des rançons payées, comme il le précisa sur le forum Exploit :

« 20 % est mon pourcentage pour le travail, vous obtenez 80 % des rançons. Le pourcentage peut être réduit jusqu'à 10/90 si les volumes sont bons. Mais aujourd'hui, temporairement, jusqu'à ce que le service soit entièrement automatisé, nous travaillons avec un algorithme différent. »

Une annonce traduite par une machine d'une annonce de Putinkrab sur le forum UFOlabs en 2019. Image : Ke-la.com.

Tout au long de l'été 2019, Putinkrab posta de nombreuses mises à jour sur Exploit au sujet de nouvelles fonctionnalités ajoutées à son ransomware, « ainsi que de nouvelles techniques d'évasion pour éviter d'être détecté par les outils de sécurité », précise Krebs. Ce dernier relève qu'il « recherchait également des investisseurs pour un nouveau projet de ransomware ».

En réponse à un membre d'Exploit qui se plaignait que l'industrie de la cybersécurité rendait les ransomwares plus difficiles à rentabiliser, Putinkrab répondit que c'était « parce que de nombreux cybercriminels s'appuyaient sur des codes de ransomwares de mauvaise qualité » :

« La grande majorité des meilleurs antivirus utilisent l'analyse comportementale, qui bloque 95 % des crypto-lockers à la racine. La grande majorité des cryptolockers sont écrits par des personnes qui ne comprennent pas grand-chose à la cryptographie. C'est pourquoi des décrypteurs apparaissent sur Internet, et avec eux l'espoir que les fichiers puissent être décryptés sans payer de rançon. »

Putinkrab précisa qu'il était convaincu que le code de son ransomware changeait la donne et pouvait constituer une énorme machine à cash. « Le jeu ne fait que prendre de l'ampleur. Les joueurs faibles perdent et sont éliminés », précisait alors celui qui allait effectivement dominer le marché du rançongiciel :

« Dans ce monde, les plus forts survivent.
Notre vie n'est qu'une lutte.
Le gagnant sera le plus intelligent,
qui a la tête sur les épaules. »

Le dernier message de Putinkrab fut publié le 23 août 2019, cinq mois avant le lancement du programme d'affiliation LockBit. Khoroshev aurait alors abandonné le pseudo Putinkrab pour adopter celui de LockBitSupp qui, dans son message de présentation sur le forum Exploits, précisa que la souche de son rançongiciel était en cours de développement depuis septembre 2019.

Le malware original de LockBit était « écrit en C », un langage dans lequel NeroWolfe excellait, et en assembleur. Il proposait de très nombreuses fonctionnalités avancées :

« Il y a un port qui analyse les réseaux locaux et une option pour trouver tous les partages réseau DFS, SMB, WebDAV, un panneau d'administration en Tor, un test de déchiffrement automatique ; un outil de déchiffrement est fourni ; il y a un chat avec des notifications Push, un bot Jabber qui transmet la correspondance et une option pour mettre fin aux services/processus en ligne qui empêchent le ransomware d'ouvrir les fichiers à un moment donné. […] Le ransomware chiffre les fichiers en plusieurs parties à différents endroits : plus la taille du fichier est importante, plus il y a de parties. Les algorithmes utilisés sont AES + RSA.
C'est vous qui déterminez le montant de la rançon après avoir communiqué avec la victime. La rançon payée dans la devise qui vous convient sera transférée dans vos portefeuilles. Le bot Jabber sert de panneau d'administration et est utilisé pour bannir, fournir des outils de décryptage, chatter – Jabber est utilisé pour absolument tout. »

De Putinkrab/LockBitSupp à Khoroshev

Si l’acte d’accusation affirme que Khoroshev est réapparu sous le pseudo Putinkrab, Brian Krebs précise n'avoir trouvé aucun lien entre Putinkrab et les anciennes identités de Khoroshev. Il relève cependant que, « si Putinkrab était Khoroshev, il aurait appris de ses erreurs passées et aurait recommencé à zéro avec une nouvelle identité ». Cela colle aussi avec le fait que Khoroshev œuvrait sur les forums de pirates en tant que NeroWolfe de l'âge de 18 et jusqu'à ses 23 ans. Il aurait pu ensuite faire montre de plus d'expérience, voire de maturité.

Krebs relève aussi de nombreuses similarités entre NeroWolfe/Khoroshev et Putinkrab/LockBitSupp. Le premier a ainsi été, pendant de nombreuses années, « profondément investi dans d'innombrables projets impliquant des botnets, des données volées et des logiciels malveillants qu'il a écrits et que d'autres ont utilisés ».

La spécialité de NeroWolfe était en outre de créer des programmes personnalisés utilisant de nouvelles techniques de furtivité et d'évasion, « et il était toujours prompt à proposer ses services sur les forums lorsque quelqu'un cherchait de l'aide pour un projet de logiciel malveillant qui nécessitait un programmeur C ou C++ expérimenté », souligne Krebs :

« Une personne possédant ces qualifications – ainsi qu'une maîtrise avérée des techniques de chiffrement et de déchiffrement des données – aurait été très demandée par le secteur des ransomware-as-a-service, qui a pris son essor à peu près au moment où NeroWolfe a disparu des forums. »

De plus, quelqu'un possédant les compétences d'un NeroWolfe, « proche ou au sommet de son art par rapport à ses pairs, n'abandonne pas simplement ce niveau d'influence, ce statut au sein de la communauté et cette source de revenus potentiels, à moins d'y être contraint par des circonstances échappant à son contrôle immédiat », rélève également Brian Krebs :

« Il est important de noter que Putinkrab n'a pas surgi de nulle part en 2019, soudainement doté de connaissances sur la manière d'écrire des souches de ransomware avancées et furtives. Ces connaissances proviennent clairement de quelqu'un qui avait déjà des années d'expérience dans la création et le déploiement de souches de ransomware contre de véritables organisations et systèmes d'information. »

Krebs conclut qu'il y a fort à parier que Putinkrab avait donc probablement été préalablement impliqué dans le développement et l'utilisation de souches de ransomwares antérieures ayant été couronné d'un certain succès, ce qui pourrait aussi expliquer ce pourquoi LockBit avait réussi à s'imposer comme la pire, et la principale, source de ransomware jusqu'à la saisie de ses serveurs en février dernier.

• L’infrastructure du rançongiciel LockBit a été saisie par les autorités
• Le rançongiciel LockBit 3.0 est (déjà) de retour