Ransomware : Darkside aurait été piraté, les gangs se calment
Le 17 mai 2021 à 08h39
3 min
Internet
Internet
Darkside, le groupe dont le ransomware avait bloqué un pipeline américain la semaine passée, a déclaré avoir perdu le contrôle de son blog et de ses serveurs web, ainsi que de l'adresse bitcoin qui lui servait au paiement des rançons, s'étonne The Record.
Darkside venait par ailleurs de s'excuser après que Colonial Pipeline lui avait versé une rançon d'un peu moins de 5 millions de dollars.
Brian Krebs précise que le gang aurait également déclaré vouloir fournir des outils de décryptage aux entreprises victimes de son ransomware et n'ayant pas encore payé de rançon.
Elliptic avait pour sa part identifié le portefeuille bitcoin de Darkside, qui avait reçu 57 paiements depuis mars 2021, totalisant 17,5 millions de dollars. Les 5 millions qui y restaient ont été transférés ce jeudi, sans que l'on sache à ce stade qui l'a vidé ni comment.
The Record rappelle que lors de deux conférences de presse, Joe Biden avait déclaré la semaine passée que « nous ne pensons pas que le gouvernement russe ait été impliqué dans cette attaque, mais nous avons de bonnes raisons de croire que les criminels qui ont commis l'attaque vivent en Russie ».
Il avait également expliqué avoir « été en communication directe avec Moscou sur l'impératif pour les pays responsables de prendre des mesures décisives contre ces réseaux de ransomwares », et annoncé vouloir « perturber leur capacité à fonctionner ».
Le groupe, s'interroge The Record, pourrait avoir profité de ces déclarations pour fermer son infrastructure et s'enfuir avec l'argent sans avoir à payer ses prestataires, une tactique connue sous le nom d'« exit scam » et régulièrement pratiquée sur les places de marché des darknets.
Quelques heures plus tard, le porte-parole de REvil (pour Ransomware Evil) a pour sa part annoncé qu'il prévoyait d'arrêter de faire de la publicité de sa plateforme de ransomware-as-a-service (RaaS), et de ne plus travailler qu'avec un petit groupe de collaborateurs connus et de confiance.
Il a également expliqué qu'il serait désormais interdit d'attaquer le « secteur social » (défini comme les établissements de santé et d'enseignement) et les organisations du « secteur gouvernemental » (État) de n'importe quel pays. Les affiliés devront en outre obtenir une approbation avant d'infecter les victimes.
Dans la foulée, les opérateurs du ransomware Avaddon ont eux aussi annoncé des mises à jour similaires de leur programme, afin d'éviter de s'attaquer à ces cibles, au risque d'être eux aussi ciblés par les autorités et services de renseignement américains.
Jeudi, l'administrateur du populaire forum russe XSS avait de même annoncé que la communauté n'autoriserait plus les fils de discussion sur les programmes de rançongiciel : « Il y a trop de publicité », a expliqué l'administrateur XSS. « Les ransomwares ont rassemblé une masse critique d'absurdités, de conneries, de battage médiatique et d'histoires autour de cela. Le mot "ransomware" est devenu dangereux et toxique ».
Le 17 mai 2021 à 08h39
Commentaires (26)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 17/05/2021 à 08h58
C’est quand même fou à lire, ils agissent comme des sociétés en bon et due forme qui s’offusque de l’utilisation faite grâce à leurs “outils”.
“Les affiliés devront en outre obtenir une approbation avant d’infecter les victimes.”
A quand un abonnement pour que sa société soit placé en liste blanche de ces gentilles organisation ?
Le 17/05/2021 à 13h08
On dirait la guilde des voleurs / des assassins d’Ankh-Morpork
Le 17/05/2021 à 13h38
Ahah , tellement ça
Le 18/05/2021 à 09h04
Ils ne s’offusquent pas, il s’inquiètent pour le bizness.
C’est ça.
On parle ici de gangs, mais légal ou pas, c’est un système qui a pour premier but de gagner des sous. S’ils veulent que ça soit durable, il faut qu’ils soient intelligents et organisés.
C’est nous qui les voyons de manière biaisée.
Un peu comme certains voient les politiques et les médias comme de gentilles organisations bien propres.
Leur but ici c’est d’éviter de trop attirer l’attention sur eux, les attaques contre Etats et Hopitaux c’est trop dangereux: ils risquent une “guerre”.
Une guerre c’est tout sauf rentable. Ils tiennent a rester à flot.
Quand tu racket des gens, mieux vaut éviter d’attaquer des flics…
Le 17/05/2021 à 09h22
Ca existe déjà dans le monde réel à certains endroits, ça s’appelle la mafia.
Le 17/05/2021 à 10h13
le monde dans lequel nous vivons est incroyable, c’est complétement ahurissant, les mecs agissent comme si ils avaient une activité tout a fait normale.
La question qui me vient du coup, est-ce qu’il y a des activité légales qui sont du même genre ?
Je pense qu’on peut en trouver
Le 17/05/2021 à 12h56
à un moment, quand tu sens que tu vas être jugé ou devoir répondre de tes actes, les plus cons fuient ou s’énervent, les moins imbéciles font profil bas : la stratégie? s’excuser, montrer sa bonne foi pour essayer d’avoir une petite sanction et se faire pardonner.
C’est pas propre au monde du piratage (rappelons qu’on a une canaille en détention en france, de nationalité russe, arrêtée en vacances en grece, et demandée par la russie, les USA et d’autres pays, et qu’en a pour un moment derrière les barreaux, pour une histoire de blanchiment via BTC), mais à la délinquance et criminalité en générale.
tu n’as jamais vu de procès? ils se défendent bien la plupart du temps : regrets, déceptions, demande de pardon et explications..;
pourquoi les hackers feraient différemment?
ne pas le faire c’est tout perdre, en plus de se manger une condamnation sévère..
rhooo l’autre tout de suite.
la politique c’est comme paretto: ya à peine 20% d’entre eux qui magouillent, les 80% médiatisés restants qui “encaissent” les remontrancent du peuple. Mais comme ils sont bien payés, ils resteront détestés ;)
Le 17/05/2021 à 10h28
Ils devraient appeler à la création d’une convention de Genève pour une cybercriminalité éthique, et pour des tribunaux de commerce du crime.
Le 17/05/2021 à 10h29
La politique ?
Le 17/05/2021 à 10h34
haha je crois qu’on est tous d’accord.
Le 17/05/2021 à 10h35
Même réaction que les autres au dessus, les fournisseurs de ces outils ont l’air de penser être honnêtes. Ils doivent avoir une façon de raisonner originale.
Le 17/05/2021 à 12h57
Ils savent très bien qu’ils sont dans l’illégalité, mais grosso modo ils font comme des boites comme Facebook, qui communiquent sur le fait qu’elles sont capables de s’auto-réguler, pour pas qu’on vienne trop les embêter. C’est triste à dire, mais tant que les victimes ne sont pas “stratégiques”, les états ne vont pas mobiliser grand chose contre ces multinationales du cybercrime. Donc si les gars annoncent respecter une certaine “éthique”, il y a plus de chance qu’on les laisse opérer tranquillement.
Le 17/05/2021 à 12h31
Les fabricants d’armes ne sont pas responsables des morts causés par leurs armes.
Le 17/05/2021 à 12h36
Le 17/05/2021 à 13h14
J’adore ce dernier paragraphe. « Les gars arrêtez un peu,
les ransomwares c’est pas sympaon parle trop de nous… »Le 17/05/2021 à 13h31
J’ai du mal à comprendre ton propos. Une explication plus poussée ?
Le 17/05/2021 à 13h55
On ne se connaît pas, vouvoiement monsieur eliumnick.
Votre réponse est tellement facile.
“Les fabricants d’armes ne sont pas responsables des morts causés par leurs armes.”
J’ai pas envie de partir dans des débats sans fin. Mais j’ai eu beau repenser 100 fois à votre phrase, elle n’est ni fausse ni vraie.
Vendre une “arme”‘, vous avez bien dit “arme”, on parle pas d’un couteau de cuisine chez ikea, on est bien d’accord. Et bien pour vous les morts causés par cette arme ne sont en rien en lien avec une quelconque responsabilité des vendeurs ?
Un peu quand même, non ?
Le 17/05/2021 à 14h25
A moins qu’on trouve à une arme une autre utilité que celle de tuer
Le 17/05/2021 à 14h28
Ce n’est pas mon avis,. c’est plutôt la réalité
Le 17/05/2021 à 14h47
Certains disent que ça peut servir de protection. Paraît que ça sert à ça entre autre d’avoir la bombe nucléaire aujourd’hui
EDIT: J’suis parti à l’extrême un peu vite x) , mais une arme peut aussi servir de dissuasion. Pas forcément pour tuer.
Ca devient compliqué
Le 17/05/2021 à 15h05
Mouais perso. déja qui a parler d’arme ici ? Ceci est un ou des programmes informatiques de pénétrations et de chiffrement. Et Darkside n’a pas attaqué lui-même le site en question, il ne fait que fournir un service.
Et vous savez que l’on utilise ce type de programme tous les jours pour installer, déployer, sécuriser votre réseau et idem pour les postes. Et dans le dernier cas, on paye même des entreprises pour faire du pentest ou tester des tentatives d’intrusion. Ca sert à quoi de le cacher.
Ca me rappelle l’époque où une coalition de républicains voulait interdire les commandes réseau genre nslookup, whois, ping, etc… on marche sur la tête.
Le 17/05/2021 à 18h18
On a lu la même news ?
Darkside est bien l’utilisateur du logiciel et l’acteur d’une attaque contre une infrastructure américaine.
Le groupe qui fournit le service c’est REvil qui se définit comme du Ransomware as a Service. C’est pas du tout du ping ou du whois !! Ils assument complètement l’aspect illégal puisqu’ils listent des cibles à éviter, sous-entendant les autres (entreprises et particuliers) c’est open-bar.
Le 17/05/2021 à 18h46
Yep, j’ai écrit trop rapidement (et sans me relire) je voulais parler de REvil bien sur.
Le 18/05/2021 à 03h02
Sérieux ?! Il faut que je me renseigne là dessus, ça a l’air dingue.
Le 18/05/2021 à 06h35
Le 21/05/2021 à 16h46
Pour information, les ventes d’armes de guerre ne sont autorisés qu’aux armées officielles (il faut une licence d’exportation pour que les fabricants français d’arme de guerre puissent exporter leurs armes de guerre à des états étrangers).
D’où la prolifération d’intermédiaire par qui passent les guérillas pour se procurer des armes de guerre.
Pour info, la plupart des kalachnikovs vendues aux guérillas sortent d’une usine égyptienne que la CIA détenait pour les exporter vers les moudjahidines qui luttaient contre l’URSS en Afghanistan.