Logo Zéphyrnet

Cinq signaux clés du buste russe REvil Ransomware

Date :

La Russie réprime le gang de rançongiciels REvil

La décision soudaine du principal organisme russe chargé de l'application de la loi de mener une enquête très publique retrait de l'opération de rançongiciel REvil a fait parler de lui sur la façon dont la diplomatie pourrait détenir la clé pour ralentir les attaques de rançongiciels de gros gibier.

L'opération d'infiltration, qui a été suivie d'une annonce soigneusement rédigée selon laquelle elle a été effectuée "à la demande des États-Unis", intervient au milieu d'une plus grande Conflit géopolitique russo-ukrainien qui est déjà lié à attaques de logiciels malveillants d'effacement de données et dégradations ciblées de sites Web. 

Le gouvernement américain a publiquement reproché à la Russie d'avoir ignoré plusieurs attaques de rançongiciels très médiatisées qui gazoducs craqués et opérations de restauration et de boissons interrompues et la Maison Blanche l'année dernière a insisté sur des "actions de suivi" après avoir partagé des données sur l'activité de transfert de richesse des rançongiciels russes.

Maintenant, il semble que les Russes signalent une action de suivi solitaire de manière très délibérée, une décision sans aucun doute liée à des négociations diplomatiques plus larges entourant un conflit militaire et des sanctions économiques.  

Il vaut la peine d'examiner de près les cinq principaux signaux envoyés pour comprendre comment l'écosystème des rançongiciels secoue le reste de cette année :

1. Les ransomwares peuvent être (partiellement) résolus avec diplomatie : 

Tout dans cette opération crie la diplomatie .gov au travail. Les Russes ont fait le show, publier des vidéos de raid aux côtés d'un savamment orchestré annonce que la répression était un cadeau aux Américains. 

Le communiqué de presse du FSB indiquait très clairement qu'il s'agissait d'une réponse à une demande des États-Unis, un signal évident qu'il était disposé à utiliser sa portée en matière d'application de la loi pour coopérer sur les questions de cybersécurité.

Alors que beaucoup restent sceptiques (plus sur le choix de retrait REvil plus tard), cela confirme qu'un gouvernement volontaire peut efficacement contrecarrer les activités cybercriminelles majeures, en particulier celles qui ont des implications géopolitiques et de sécurité nationale. Quelques réunions de politiciens pourraient conduire à une soudaine directive d'application de la loi et à l'éventuel plafonnement des cybercriminels. 

Cela montre qu'une initiative globale d'application de la loi peut rassurer les défenseurs des réseaux qui luttent pour extraire les ransomwares des réseaux d'entreprise.

[LISSecurityWeek Cyber ​​Insights 2022 : Ransomware ]

2. REvil était un fruit à portée de main : 

Il est intéressant que les Russes aient choisi REvil comme cible de cette opération. La vérité est que l'opération de malware de REvil a déjà été compromise par le gouvernement américain et les alliés des forces de l'ordre dans l'ouest. 

As j'ai écrit en octobre dernier, une opération de piratage des forces de l'ordre dirigée par les États-Unis a conduit à la saisie des serveurs Tor et a effectivement paralysé REvil après que le gang ait été blâmé pour le Piratage du pipeline colonial les nouveautés Compromis de la chaîne d'approvisionnement de Kaseya

Étant donné que REvil était déjà perturbé et que ses opérateurs étaient connus des autorités américaines, il était assez facile pour les négociateurs russes de signaler publiquement qu'il pourrait être coopératif sur d'autres poissons plus gros si les Américains étaient prêts à conclure des accords plus importants.

J'ai demandé à quelqu'un au plus profond de l'espace de suivi des logiciels malveillants de l'État-nation ce qu'il pensait et sa réponse est tout à fait logique : « Ce qu'est le signal, c'est évident. Il est également important que le signal soit correctement compris par tout le monde. Vous nous avez demandé de faire quelque chose contre les rançongiciels et nous l'avons fait. Maintenant, que vas-tu faire pour nous ?

[ LIS: REvil Ransomware Gang touché par une opération de piratage des forces de l'ordre ]

Événement virtuel sur les rançongiciels

3. Faire peur aux gangs criminels :

Un gros effet secondaire de ce retrait sera la dissuasion. Quelles que soient les accusations – les personnes arrêtées font face à des accusations de blanchiment d'argent plus légères parce que les lois sur la cybercriminalité exigent des victimes russes – il n'y a rien d'amusant à être incarcéré en Russie, surtout en janvier.

Alors que la plupart des personnes arrêtées seraient des affiliés de bas niveau de REvil dans l'écosystème des rançongiciels, c'est une leçon directe pour les cerveaux et les chefs de gangs qu'ils sont des atouts durables dans les négociations diplomatiques.

Cette dissuasion entraînera probablement une baisse notable des attaques audacieuses et davantage de tentatives de la part des cybercriminels pour couvrir des pistes ou arrêter des opérations entières, beaucoup comme nous l'avons vu avec DarkSide après le piratage du Colonial Pipeline 

[ LIS: Arrêt de DarkSide Ransomware : une arnaque à la sortie ou une fuite en avant? ]

4. La connexion rançongiciel Iran-Corée du Nord :

Alors que le retrait de REvil est considéré dans le cadre des relations américano-russes, il y a au moins deux États-nations – la Corée du Nord et l'Iran – qui utilisent des attaques de rançongiciels et des cambriolages de crypto-banques pour contourner les sanctions économiques.

Si les Russes peuvent utiliser les dommages causés par les ransomwares comme levier dans les négociations, cela crée un précédent pour que d'autres nations poursuivent la même stratégie. Pirates nord-coréens a volé 400 millions de dollars valeur de crypto-monnaies en 2021 et il existe des attaques de ransomware documentées provenant d'acteurs soutenus par l'État en Iran.

Attendez-vous à voir ces acteurs de la menace .gov sous-traiter les opérations de rançongiciels anti-sanctions à des acteurs mercenaires du secteur privé dans le but d'esquiver l'attribution ou d'organiser de futures négociations diplomatiques.

[ LIS: Microsoft découvre des logiciels malveillants destructeurs utilisés dans les cyberattaques en Ukraine ]

5. La valeur de la (bonne) attribution

L'une des choses les plus intéressantes à surveiller est l'utilisation par le gouvernement américain d'une attribution de haute qualité dans la nouvelle stratégie "sable et friction" utilisée pour perturber les prédateurs au sommet, y compris les acteurs de l'écosystème des rançongiciels. 

La stratégie comprend des avis multi-agences avec des avertissements spécifiques sur l'activité APT ciblée et l'utilisation de l'attribution directe sur les réseaux sociaux pour exposer les outils et les IOC pour aider les défenseurs. Cette attribution de haute qualité est cruciale pour le niveau de partage d'informations .gov qui conduit aux arrestations de gangs REvil.

L'attribution peut être une discipline délicate, mais sa valeur n'a jamais été aussi urgente. 

Il est important pour l'industrie de la cybersécurité de comprendre les méandres de l'écosystème des rançongiciels, même lorsque les gouvernements et les diplomates prennent le contrôle des conversations. 

Services Connexes: La Russie lance le smackdown sur REvil Ransomware Gang

Services Connexes: Les piratages ukrainiens ajoutent aux inquiétudes d'un cyberconflit avec la Russie

Services Connexes: Arrêt de DarkSide Ransomware : une arnaque à la sortie ou une fuite en avant

Services Connexes: REvil Ransomware Gang touché par une opération de piratage des forces de l'ordre

Services Connexes: Le Trésor américain sanctionne l'échange de crypto dans le cadre de la répression anti-ransomware 

Événement virtuelOuverture des inscriptions pour le Ransomware Resilience & Recovery Summit – 26 janvier

voir le compteur

Ryan Naraine est rédacteur en chef de SecurityWeek et animateur du populaire Conversations sur la sécurité série podcast. Il est journaliste et stratège en cybersécurité avec plus de 20 ans d'expérience dans le domaine de la sécurité informatique et des tendances technologiques.
Ryan a mis en place des programmes d'engagement en matière de sécurité dans de grandes marques mondiales, notamment Intel Corp., Bishop Fox et Kaspersky GReAT. Il est co-fondateur de Threatpost et de la série de conférences mondiale SAS. La carrière de Ryan en tant que journaliste comprend des signatures dans des publications technologiques majeures, notamment Ziff Davis eWEEK, ZDNet de CBS Interactive, PCMag et PC World.
Ryan est directeur de l'association à but non lucratif Security Tinkerers et conférencier régulier lors de conférences sur la sécurité à travers le monde.
Suivez Ryan sur Twitter @ryanaraine.

Chroniques précédentes de Ryan Naraine :
Mots clés:

Source : https://www.securityweek.com/five-key-signals-russias-revil-ransomware-bust

spot_img

Dernières informations

spot_img