L’année 2021 a vu la guerre entre les gangs de rançongiciels et les autorités publiques gagner en ampleur. Tandis que les attaques n’ont jamais été aussi nombreuses, la fermeté affichée du président des Etats-Unis Joe Biden a provoqué plusieurs auto-démantèlement d’ampleur, comme ceux de Darkside ou d’Avaddon. Seul problème : un gang qui disparaît cache bien souvent une simple fuite avec les poches pleines, ou une volonté de semer les autorités. Cette cyberguerre n’est donc pas prête de se calmer.
Mi-juin 2021, le gang de rançongiciels Avaddon, particulièrement actif et agressif depuis le début de l’année, a disparu. Brutalement, sans laisser d’autre trace qu’un envoi massif de 2 934 clés de déchiffrement au Bleeping Computer, le site U.S. de référence sur les rançongiciels (ou « ransomware » en anglais).
Avaddon, un des principaux gangs de rançongiciels, disparaît sans laisser de traces
Cet envoi a permis à l’entreprise de sécurité Emsisoft de créer un outil de déchiffrement gratuit, utilisable par toutes les victimes d’Avaddon, présentes et passées, en particulier celles qui n’avaient pas payé de rançon, et dont certaines données étaient encore cryptées.
Cette disparition interroge sur les raisons de ce choix. Certains analystes estiment que le gang, qui avait bénéficié du démantèlement de Darkside, mi-mai 2021, pour récupérer des parts de marché et se hisser au second rang des gangs de rançongiciels sur le mois écoulé, était dans le viseur des autorités, notamment américaine.
Cette disparition ne serait donc qu’un moyen de brouiller les pistes, pour se réorganiser sous un autre nom – après avoir mis en sécurité les crypto-monnaies gagnées via des rançons. Des gangs particulièrement actifs ont déjà connu une telle mue, comme Grandcrab, qui est devenu REvil, ou Nemty, transformé en Nefilim.
Comment fonctionne un gang de rançongiciels ?
Le fonctionnement d’un gang de rançongiciels est celui d’un fournisseur de service pour des groupes souhaitant attaquer des entreprises – au point de parler de véritable technologie RaaS, « Ransomware as a Service ». Dans le détail, ils proposent un outil permettant de crypter des données et de récupérer des crypto-monnaies auprès d’une entreprise ou d’une administration.
Des pirates – les « affiliés » – leur proposent des cibles, qu’ils vont attaquer, moyennant le paiement d’une somme fixe et d’un pourcentage sur la rançon obtenue. C’est le gang qui récupère les rançons, et reverse ensuite le montant convenu à ses affiliés.
L’attaque de Darkside contre Colonial Pipeline, point de bascule
Or, ces gangs sont désormais dans le viseur des autorités, en particulier américaines. Suite à l’attaque de Darkside contre Colonial Pipeline, qui menaçait de paralyser l’économie américaine, Joe Biden s’était personnellement impliqué, faisant pression diplomatiquement sur la Russie pour faire cesser les activités de ce groupe supposément russe.
Au final, Darkside cessé ces activités, après un message a priori sans ambigüité : « Nous avons perdu l’accès à la partie publique de notre infrastructure, c’est-à-dire notre blog, notre serveur de paiement, notre serveur DOS ». En revanche, le portefeuille de crypto-monnaie, où se trouvait les différent butin du groupe (dont les 5 millions de dollars versés par Colonial Pipeline), avait été vidé avant ce démantèlement.
Les gangs de rançongiciels, dans le viseur de Joe Biden et du FBI
Deux possibilités face à cet arrêt : soit les autorités américaines ont réussi le démantèlement d’un gang de rançongiciels le plus efficace et le plus rapide de l’histoire, mais sans donner aux sociétés de cybersécurité beaucoup de détails sur leur mode opératoire. Soit il s’agit d’un « exit scam ». Darkside aurait profité des menaces de Joe Biden pour disparaître dans la nature, tout en empochant la totalité de leurs gains, sans les partager à leurs affiliés.
Si le premier cas est le plus inquiétant pour l’écosystème des rançongiciels, les autorités semblent déterminés à intensifier leurs luttes contre ces gangs. Début juin, après l’attaque de REvil contre le géant de l’agroalimentaire JBS, le FBI a annoncé qu’il faisait de ce gang une de ses cibles prioritaires, soutenu en cela par l’administration Biden.
Quel avenir pour ces gangs ?
Ces gangs se savent donc épiés, surveillés, et dans le viseur des autorités. Les affaires JBS et Colonial Pipeline devraient les inciter à mieux choisir leurs affiliés, pour éviter de travailler avec des hackers qui viseraient des entreprises ou des administrations trop grosses ou trop sensibles, au risque de se faire remarquer par les autorités.
Il y a donc peu de grandes chances que des affaires aussi massives et médiatiques se reproduisent de sitôt. Mais cela ne voudra pas forcément dire que les activités de ces gangs auront été maîtrisées par les autorités, peut-être simplement qu’ils visent désormais des cibles moins visibles…