Opérateur de ransomware LockBit: « Pour un cybercriminel, le meilleur pays est la Russie »

Un contrôleur de ransomware LockBit a donné aux chercheurs un aperçu des opérations d'un loup solitaire et des raisons pour lesquelles il a choisi de s'engager dans une voie criminelle.

Dans une interview cette semaine avec Cisco Talos équipe de cybersécurité (.PDF), un opérateur de LockBit a expliqué son mode opératoire, ses cibles préférées, l'utilisation de ses outils et pourquoi il est difficile de devenir un spécialiste du chapeau blanc dans son pays de résidence présumé, Russie.

Les ransomwares sont devenus une menace sérieuse pour les entreprises ces dernières années. Alors que les ransomwares peuvent causer des ravages personnels chez les individus qui se retrouvent soudainement bloqués hors de leur PC et sans aucun recours pour récupérer leurs fichiers. à moins qu'elles ne paient une demande de rançon en échange d'une clé de déchiffrement -- généralement requise dans les cryptomonnaies telles que Bitcoin (BTC) -- les entreprises font face à des conséquences qui peuvent être lourdes. pire.

Une fois qu’une variante de ransomware a infiltré un réseau d’entreprise et a terminé sa frénésie de chiffrement, les victimes sont confrontées à des perturbations et peuvent être contraintes de suspendre les services de base. Si les sauvegardes ne sont pas facilement disponibles, les cybercriminels peuvent potentiellement exiger des milliers et des milliers de sauvegardes. dollars, sous peine de garder les ressources cryptées ou de potentiellement divulguer des données sensibles de l'entreprise.

Selon Coveware, le paiement moyen a diminué au quatrième trimestre 2020 pour atteindre 154 108 $, contre 233 817 $ au troisième trimestre. Toutefois, tant que les organisations cèderont et paieront, le marché des ransomwares restera lucratif.

Lors de l'entretien de Cisco Talos avec l'opérateur LockBit, appelé « Aleks » et qui serait situé en Sibérie région de Russie, il prétendait être autodidacte dans des domaines tels que les tests d'intrusion, la sécurité des réseaux et reconnaissance.

Aleks, qui aurait une trentaine d'années, a obtenu un emploi dans une entreprise informatique tout en terminant ses études universitaires, mais a fait preuve d'un « sentiment général de déception, parfois même de ressentiment, de ne pas être correctement apprécié au sein de la cyber-industrie russe", a déclaré Talos. dit.

"Sa frustration était évidente lors de nos conversations, où il dénigrait plusieurs sociétés russes de cybersécurité bien connues", peut-on lire dans l'interview. "Il a également fait remarquer qu'en Occident, je travaillerais probablement dans le secteur de la sécurité et je gagnerais facilement…", suggérant que sa sous-estimation perçue et ses bas salaires l'ont poussé à participer à des comportements contraires à l'éthique et criminels. »

Plusieurs exemples d'une telle "sous-appréciation" ont été relevés, notamment le fait d'avoir été repoussé lorsqu'il a signalé des problèmes de sécurité sur des sites Web, notamment sur un réseau social russe. Ses « efforts bien intentionnés ont été ignorés », a affirmé Aleks, ce qui l'a poussé davantage sur la voie de la cybercriminalité.

Cependant, même si votre pays n'apprécie pas les chercheurs légitimes, il existe toujours la possibilité de participer à des bug bounties -- et il existe une demande mondiale d'aide pour sécuriser les informations en ligne. actifs.

L'opérateur LockBit semble déçu par cette industrie, affirmant à Talos que les entreprises font de leur mieux pour renoncer à payer les chasseurs de primes pour leurs découvertes.

"Cela est totalement en contradiction avec nos observations professionnelles de la communauté de la sécurité", ont noté les chercheurs. "Il se peut qu'Aleks choisisse de considérer les programmes de vulnérabilité sous cet angle pour rendre compte de son sa propre décision de ne pas y participer ou parce qu'il a entendu des histoires inexactes provenant d'autres menaces acteurs."

Ses motivations pour devenir opérateur de ransomware ne semblent cependant pas être purement financières. Au cours de l'interview, Aleks a déclaré que même si les ransomwares sont rentables, il souhaitait également « enseigner » aux entreprises les « conséquences d'une mauvaise sécurisation de leurs données ».

Aleks a également déclaré que « pour un cybercriminel, le meilleur pays est la Russie », et que les organisations de victimes aux États-Unis et en Europe « paieront plus rapidement et plus » que les cibles dans les États post-soviétiques.

L'acteur menaçant a affirmé que lorsqu'il s'agit d'organisations avec la cyberassurance, le paiement est « pratiquement garanti », et en Europe, les entreprises sont également soumises à une plus grande pression pour payer car elles ont « peur » des conséquences d'une violation des réglementations européennes sur la protection des données, le RGPD.

"Il n'est pas rare que des criminels considèrent leurs propres actions comme justifiables après coup, même s'il n'y avait aucune réelle ambiguïté morale autour du crime", a conclu Cisco Talos. "Dans ce cas, le manque d'emplois qui satisfassent sa satisfaction apparaît comme le cours d'introduction à la cybercriminalité. Ses sentiments de sous-appréciation, de ressentiment et d'incitation économique sont des motivations courantes pour les activités illicites. cyberactivité, et son histoire, telle qu'elle nous est décrite, illustre comment on pourrait être poussé vers la cybercriminalité."

Couverture antérieure et connexe

• Les paiements des ransomwares diminuent alors que de plus en plus de victimes décident de ne pas payer
  
• JhoneRAT exploite les services cloud pour attaquer les pays du Moyen-Orient
  
• Les opérateurs de ransomwares externalisent désormais les exploits d'accès au réseau pour accélérer les attaques
  

---

Vous avez un conseil ? Contactez-nous en toute sécurité via WhatsApp | Signalez au +447713 025 499, ou sur Keybase: charlie0

---