Phénomène isolé ou nouvelle tendance? Plusieurs entreprises de cybersécurité, dont Checkpoint et Group-IB, viennent de remarquer l’activité furtive d’un nouveau gang de rançonneurs repéré notamment en France, en Italie, au Luxembourg et en Autriche, pour ses victimes européennes.
Alors que l’industrie criminelle du rançongiciel s’est spécialisée dans la double extorsion – un chiffrement suivi d’un vol de données assorti d’un chantage à la divulgation des fichiers volés – , ce groupe de cybercriminels n’a pour le moment pas ouvert de site de fuite de données. Ce gang préfère en effet rester dans l’ombre, demandant de façon discrète à ses victimes des rançons allant de 50 000 dollars à un million de dollars.
Techniques sophistiquées
Ce groupe de cybercriminels, dénommé Rorschach ou BabLock par Checkpoint et Group-IB, intrigue les chercheurs en sécurité. Car il se signale par l’utilisation de techniques sophistiquées. Il semble avoir “pris certaines des meilleures fonctionnalités des principaux rançongiciels divulguées en ligne pour les intégrer ensemble”, résume Checkpoint.
Comme le signale également Group-IB, le gang a visiblement du savoir-faire. Il a par exemple développé en interne des fonctions pourtant déjà disponibles sur étagère, signe d’une maîtrise du développement de leur logiciel. Au final, leur programme malveillant se distingue par des fonctionnalités furtives lui permettant d’éviter d’être détecté par des logiciels de sécurité informatique.
L’un des plus rapides
Pour Checkpoint, le rançongiciel est même l’un des plus rapides du marché pour le chiffrement des fichiers de ses victimes. Pour aller plus vite, le logiciel malveillant ne chiffre qu’une partie des fichiers. Il est ainsi largement plus véloce que LockBit 3.0, mettant un tiers de temps de moins que ce rançongiciel pour chiffrer des données, selon les tests de Checkpoint.
Les chercheurs restent prudents sur la généalogie de ce nouveau groupe, apparu dans le courant de l’année 2022. Après étude en ingénierie inversée du code du logiciel malveillant, les experts ont établi des similitudes avec les rançongiciels Babuk et LockBit 2.0, ainsi qu’avec les notes de rançons de DarkSide.
Seule certitude: les opérateurs du nouveau rançongiciel ne veulent pas avoir de problème en Russie et dans les pays voisins. Son programme est configuré pour ne pas chiffrer les terminaux utilisant le russe et les autres langues parlées aux environs.