Voilà comment fonctionne un gang de cybercriminels de ransomware de l’intérieur

Les chercheurs en cybersécurité du Group-IB sont parvenus à infiltrer le logiciel de gestion de Qilin, un gang spécialisé dans les rançongiciels (ransomwares en anglais). Ils décrivent les méthodes de ce groupe dans un rapport publié le 15 mai sur leur site. Les experts n’expliquent pas comment ils ont eu accès aux outils des malfaiteurs. Il est précisé en revanche que le collectif est en plein recrutement.

Le collectif Qilin s’est organisé autour d’une approche dite de « ransomware-as-service », qui est de plus en plus employée par les cybercriminels. Concrètement, le logiciel malveillant est loué par les gestionnaires du « produit » — un peu comme le ferait Adobe ou Microsoft — et les attaques sont menées par des affiliés ; des associés qui reversent une commission après le paiement de la rançon. Le collectif inclut donc des développeurs chargés d’éditer et de mettre à jour le logiciel, et des pirates « clients » et utilisateurs.

Les hackers de Qilin commenceraient leur attaque par des mails de phishing, dans lesquels se trouvent des pièces jointes piégées. Jusque-là, rien de surprenant. Une fois que malfaiteur a obtenu son accès initial, il se déplace généralement dans l’infrastructure de la victime, à la recherche de données essentielles à verrouiller. Les cybercriminels ont aussi la possibilité d’éteindre rapidement les postes de la victime si celle-ci détecte et réagit à la menace. Au cours de ce processus de capture des fichiers et des dossiers, les pirates vont laisser une note de rançon contenant les instructions pour recouvrir les fichiers dérobés.

Source