Rançongciel : comment ThreeAm a utilisé un bot pour mettre la pression sur l’une de ses victimes

Continental victime d’un cyberchantage à 50 millions de dollars



Les experts en renseignement sur les cybermenaces de la société française Intrinsec viennent de remarquer un nouveau mode opératoire dans le milieu des rançongiciels. Comme l’entreprise l’explique dans un rapport repéré par Bleeping computer, un gang de rançonneurs, ThreeAM, a tenté de faire pression sur l’une de ses victimes avec un bot X (ex-Twitter).

 

 



Le 10 août 2023, environ 90 réponses similaires ont en effet été postées sur le réseau social au sujet d’une fuite de données affectant une entreprise de marketing américaine basée dans le Wisconsin. Le message, adressé à des followers de l’entreprise victime, intégrait un lien vers le site Tor ayant publié les données volées.


“Cette stratégie, qui n’avait pas encore été signalée par la communauté de la cybersécurité, vise probablement à contraindre les victimes à payer la rançon ou à accepter de payer une rançon plus élevée”, jugent les experts d’Intrinsec. L’entreprise estime également certain qu’un robot a été utilisé dans cette manœuvre au vu de la fréquence des messages.

Augmenter la pression 

Si l’utilisation d’un bot sur X pourrait être novatrice, cela fait quelque temps que des cybercriminels tentent de trouver des moyens d’augmenter la pression sur leurs victimes. Les sites Tor qui hébergent des données volées sont certes sécurisés, mais finalement peu fréquentés, avec un canal de téléchargement plutôt lent.


Les cybercriminels de Cl0p s’étaient par exemple appuyés sur des torrents pour publier des données volées, une façon de s’assurer de la dissémination rapide de la fuite de données. Alphav/BlackCat avait de son côté fait un signalement effronté auprès du régulateur américain des marchés financiers pour se plaindre d’une de leur victime qui n’aurait pas respecté le délai de notification d’une attaque informatique. Enfin les autorités américaines avaient rapporté le harcèlement mené par Karakurt contre ses victimes, par emails ou appels téléphoniques.

Codé en Rust 

ThreeAM, également dénommé 3AM à cause de sa note de rançon, avait été repéré par les experts de Symantec dans une note publiée à la mi-septembre 2023. Ils avaient alors noté un lien avec LockBit, le gang le plus actif actuellement. Dans une attaque informatique observée, les cybercriminels avaient d’abord tenté de déployer ce premier rançongiciel avant de se rabattre sur ThreeAM.


Ce programme malveillant est écrit en Rust, un langage de programmation compatible entre les différentes plateformes, ce qui permet de cibler aussi bien des ordinateurs Windows, Apple ou Linux. Il a fait au moins une victime en France, l’entreprise DS Granit. Les experts d’Intrinsec estiment qu’il est probable que les cybercriminels de ThreeAm aient des liens avec d’anciens membres de Conti, ce gang qui avait explosé en plein vol après l’invasion russe de l’Ukraine.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.