Un ressortissant russe a été inculpé et inculpé par le ministère américain de la Justice (DoJ) pour avoir lancé des attaques de rançongiciels contre « des milliers de victimes » dans le pays et dans le monde.
Mikhaïl Pavlovitch Matveev (alias Wazawakam1x, Boriselcin et Uhodiransomwar), l’individu de 30 ans en question, serait une « figure centrale » dans le développement et le déploiement des variantes de ransomware LockBit, Babuk et Hive depuis au moins juin 2020.
« Ces victimes comprennent les forces de l’ordre et d’autres agences gouvernementales, les hôpitaux et les écoles », a déclaré le DoJ. a dit. « Le total des demandes de rançon prétendument faites par les membres de ces trois campagnes mondiales de rançongiciels à leurs victimes s’élève à 400 millions de dollars, tandis que le total des paiements de rançon aux victimes s’élève à 200 millions de dollars. »
LockBit, Babuk et Hive fonctionnent de la même manière, tirant parti de l’accès obtenu illégalement pour exfiltrer des données précieuses et déployer des rançongiciels sur des réseaux compromis. Les acteurs de la menace menacent également de publier les informations volées sur un site de fuite de données dans le but de négocier le montant d’une rançon avec les victimes.
Matveev a été accusé de complot en vue de transmettre des demandes de rançon, de complot en vue d’endommager des ordinateurs protégés et d’endommager intentionnellement des ordinateurs protégés. S’il est reconnu coupable, ce qui est peu probable, il encourt plus de 20 ans de prison.
Le Département d’État américain a également annoncé une récompense pouvant aller jusqu’à 10 millions de dollars pour les informations qui conduisent à l’arrestation et / ou à la condamnation de Matveev.
Par ailleurs, le Bureau du contrôle des avoirs étrangers (OFAC) du Département du Trésor a annoncé des sanctions contre le défendeur, indiquant « ses activités illicites seront tolérées par les autorités locales à condition qu’il reste fidèle à la Russie. »
Selon le journaliste de cybersécurité Brian Krebs, l’un des alter ego de Matveev comprenait Orangeque l’accusé a utilisé pour créer le forum darknet Russian Anonymous Marketplace (alias RAMP), aujourd’hui disparu.
Malgré la vague d’actions des forces de l’ordre pour sévir contre l’écosystème de la cybercriminalité ces dernières années, le ransomware-as-a-service (RaaS) continue d’être un modèle lucratif, offrant aux affiliés des marges bénéficiaires élevées sans avoir à développer et à maintenir le logiciel malveillant eux-mêmes.
Les mécanismes financiers associés au RaaS ont également abaissé la barrière à l’entrée pour les cybercriminels en herbe, qui peuvent profiter des services offerts par les développeurs de ransomwares pour monter les attaques et empocher la part du lion des profits illicites.
Les autorités australiennes et américaines publient une alerte au rançongiciel BianLian
Le développement intervient alors que les agences de cybersécurité américaines et australiennes ont publié un avis conjoint sur le rançongiciel BianLian, un groupe de double extorsion qui a ciblé plusieurs secteurs d’infrastructures critiques, de services professionnels et de développement immobilier depuis juin 2022.
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
« Le groupe accède aux systèmes des victimes via des informations d’identification valides du protocole de bureau à distance (RDP), utilise des outils open source et des scripts de ligne de commande pour la découverte et la collecte des informations d’identification, et exfiltre les données des victimes via le protocole de transfert de fichiers (FTP), Rclone ou Mega , » selon le consultatif.
La société tchèque de cybersécurité Avast, plus tôt cette année, a publié un décrypteur gratuit pour le rançongiciel BianLian pour aider les victimes du logiciel malveillant à récupérer des fichiers verrouillés sans avoir à payer les acteurs de la menace.
Le bulletin de sécurité arrive également au milieu de l’émergence d’une nouvelle souche de ransomware surnommée LokiLocker qui partage des similitudes avec un autre casier appelé BlackBit et a été observé ciblant activement des entités en Corée du Sud.