Serveur d'impression

Sodinokibi Ransomware: Où va l'argent des attaquants – Bien choisir son serveur d impression

Le 20 novembre 2019 - 7 minutes de lecture

Les chercheurs qui suivent la variante du ransomware ont découvert de nouvelles données sur les revenus et les dépenses de leurs affiliés.

Ransomware génère des profits énormes pour ses opérateurs. Combien gagnent-ils et comment dépensent-ils leurs gains illicites? Les recherches récemment publiées sur le ransomware Sodinokibi apportent des éclaircissements à ce sujet.

L’équipe ATR (McAfee Advanced Threat Research) a enquêté sur Sodinokibi, également connu sous le nom de Rodomware-as-a-Service (Râs), car il a été aperçu à l’état sauvage en avril. Vers la même époque, les opérateurs de GandCrab ont annoncé leur retraite. L'analyse de Secureworks a montré que Gold Garden, le groupe derrière GandCrab, était également derrière REvil ransomware.

Dès le début, il était clair que Sodinokibi était une menace sérieuse. Il a d'abord été vu se propager en exploitant une vulnérabilité du serveur WebLogic d'Oracle; Cependant, ses affiliés ont plusieurs tactiques. Des chercheurs de Kaspersky Lab ont découvert que certains attaquants exploitaient un bogue d’escalade de privilèges Windows.

Compte tenu de la gravité des attaques de Sodinokibi, notamment celles visant des fournisseurs de services gérés américains, l'équipe de McAfee souhaitait approfondir ses connaissances, a déclaré John Fokker, responsable des cyber-enquêtes. Les chercheurs d’ATR publient actuellement une série de billets de blogues détaillant leurs conclusions sur Sodinokibi et ses liens avec GandCrab. Le premier de la série s'intéresse au code et au fonctionnement interne du logiciel de ransomware; la seconde analyse les structures des affiliés dans les campagnes RaaS. Les affiliés sont les assaillants qui achètent des ransomwares auprès des opérateurs de Sodinokibi et les déploient.

La troisième partie révèle de nouvelles informations sur la taille et les revenus associés de la campagne Sodinokibi. Les chercheurs ont associé des traces de transfert Bitcoin à des messages de forums clandestins sur des forums pour en savoir plus sur l’augmentation de la menace et sur le rôle des affiliés dans l’argent généré.

Sodinokibi génère un porte-monnaie Bitcoin unique pour chaque victime, une tactique selon Fokker qui est "assez similaire" aux autres types de ransomwares qu'il a étudiés. Il souligne également la forte dépendance des attaquants sur un important service de mixage Bitcoin appelé Bitmix.biz, qui masque les origines des transactions de sorte qu'il est difficile de relier les fonds d'une infection à un portefeuille final ou à un retrait.

"Nous le voyons apparaître assez régulièrement dans les paiements que nous avons suivis", dit-il du mélangeur.

Mais certains assaillants étaient suffisamment confiants pour partager des informations utiles aux chercheurs. Un article publié sur un forum souterrain traitait du succès des assaillants et offrait une réduction de 60% aux affiliés de Sodinokibi. Après trois paiements réussis, l'affilié recevrait 70% de la rançon. C'est une stratégie courante, également observée dans GandCrab et Cryptowall, explique Fokker dans un article de blog.

Un attaquant, opérant sous le pseudonyme "Lalartu", a commenté ce message. Un retour dans les archives a révélé d'autres commentaires de Lalartu, dont l'un comprenait des identifiants de transaction partiels sur le registre Bitcoin, ainsi que les montants de virement. Avec l'aide du logiciel Chainanalysis, les chercheurs ont utilisé ces informations pour extraire les ID de transaction complets et les mapper.

Après l'argent

L'analyse a révélé une "entreprise très, très rentable – et une grande entreprise aussi", déclare Fokker. La tendance de Sodinkibi à cibler les MSP permet aux affiliés d’infecter des milliers de victimes peu actives, avec un nombre relativement réduit d’échantillons et de versions, qu’il appelle «un changeur de jeu».

Divers échantillons indiquaient environ 0,44-0,45 Bitcoin, soit 4 000 USD, en paiement; Cependant, les chercheurs notent que la demande de rançon moyenne est comprise entre 2 500 et 5 000 USD. Lorsqu'une victime paie le portefeuille d'une filiale, il faut en moyenne deux à trois transactions avant d'atteindre sa destination finale. À partir de là, les chercheurs ont constaté la scission entre les filiales et les opérateurs de Sodinokibi: 60 à 70% restent chez l’attaquant, les 40 à 30% restants étant transmis aux opérateurs.

Compte tenu de la scission entre les affiliés et les opérateurs, cela donne aux premiers entre 700 et 1 500 dollars en moyenne par infection payée. Une partie de ces fonds est transférée du portefeuille de la victime; les autres Bitcoins sont achetés à un échange et transférés dans le portefeuille d'une société affiliée. Sur la base de la liste partagée par Lalartu et de la valeur moyenne en bitcoins de l'époque, une moyenne de 287 499 dollars a été transférée en moins de 72 heures – générant un bénéfice de 86 000 dollars pour les opérateurs d'une filiale.

Sur la base de l'analyse des échantillons et du nombre de numéros d'identification de transaction, les chercheurs ont recensé plus de 41 filiales actives de Sodinokibi et ont signalé un nombre élevé d'infections sur une courte période. "Si l'on prend cette vitesse combinée à quelques paiements par jour, on peut imaginer que les acteurs derrière Sodinokibi font fortune", souligne Fokker dans son blog.

Que font les affiliés avec leur coupe? Pour le savoir, les chercheurs ont choisi un portefeuille et ont suivi ses transactions. La plupart ont de l'argent transféré par un échange; certains vont aux services et d’autres à Bitmix.biz pour cacher l’activité. Dans certains cas, les filiales payaient pour des services achetés sur Hydra Market, un marché parallèle russe pour services et produits illicites achetés en Bitcoin. Fokker ne croit pas qu'il achète des logiciels malveillants, car il dispose de moyens plus sophistiqués, mais cela montre bien que les ransomwares soutiennent les activités criminelles en cours.

On ne sait pas exactement d'où peuvent provenir les opérateurs de Sodinokibi, mais Fokker note qu'il existe une forte affiliation avec l'ex-Union soviétique. Cela ne signifie pas nécessairement que les acteurs sont russes – ils pourraient être de n'importe quelle nation – bien qu'il souligne la tendance de Sodinokibi à travailler avec des individus russophones et à éviter le cryptage des pays anciennement affiliés à l'Union soviétique. Cela pourrait indiquer que les affiliés sont de cette nationalité et essaient d’éviter que leur pays soit poursuivi en justice.

Contenu connexe:

Cette conférence en ligne gratuite, qui dure toute la journée, offre un aperçu des derniers outils, stratégies et meilleures pratiques pour protéger les données les plus sensibles de votre entreprise. Cliquez pour plus d'informations et, pour vous inscrire, ici.

Kelly Sheridan est la rédactrice en chef de Dark Reading, où elle se concentre sur les nouvelles et l'analyse en matière de cybersécurité. Journaliste spécialisée dans les technologies de l'information, elle avait auparavant travaillé pour InformationWeek, où elle couvrait Microsoft, et Insurance & Technology, où elle couvrait les … Voir la Biographie complète

Plus d'idées

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.