Entretien avec un hacker de REvil: "J'ai fouillé dans les poubelles ... maintenant je suis millionnaire"
Note de l'éditeur: on ne peut nier que les ransomwares génèrent actuellement d'énormes revenus pour les cybercriminels.
Certains groupes qui cherchent à devenir riches repoussent agressivement les limites. Ils portent leurs revendications à sept ou huit chiffres, menaçant de publier des données en ligne si aucun paiement n'est effectué et ciblant les hôpitaux et autres organisations vulnérables.
REvil, également connu sous le nom de Sodinokibi, est l'un de ces groupes connus pour leurs tactiques audacieuses et lucratives. Le groupe fournit un ransomware en tant que service. Les développeurs vendent des logiciels malveillants à des partenaires qui les utilisent pour bloquer les données et les appareils d'une organisation.
En plus de publier des données sur les accidents sur Internet dans les cas où les entreprises ne satisfont pas aux exigences, REvil attire l'attention avec ses
tentatives d'extorsion au président de l'époque Donald Trump et prétend recevoir 100 millions de dollars de revenus de ses activités. Le groupe a de grands projets pour 2021, selon un porte-parole de REvil, qui utilise le pseudonyme Inconnu.
Certaines des affirmations de Unknown, telles que l'existence d'affiliés ayant accès aux systèmes de lancement de missiles balistiques et aux centrales nucléaires, semblent incroyables - jusqu'à ce que vous lisiez les
rapports qui les rendent étrangement
plausibles.... Reord ne peut pas vérifier la véracité de ces déclarations. Unknown s'est récemment entretenu avec l'analyste des menaces Recorded Future Dmitry Smilyants au sujet de l'utilisation des ransomwares comme arme, de la non-ingérence dans la politique, de l'expérimentation de nouvelles tactiques, etc. L'entretien a été mené en russe, traduit en anglais par un traducteur professionnel et révisé pour plus de clarté.
Dmitry Smilyanets: Inconnu, comment avez-vous décidé de vous livrer au chantage?
UNK: Pour être honnête, c'était il y a longtemps. Depuis 2007, lorsque winlockers et sms sont apparus. Même alors, cela a apporté un bon profit.
DS: Vous avez déposé 1 million de dollars sur un forum de hackers et mentionné un revenu de 100 millions de dollars - étant donné que vous recevez des paiements en crypto-monnaie, vous avez probablement un demi-milliard de dollars aujourd'hui. Combien suffit-il pour vous faire abandonner les ransomwares?
UNK:Vous avez tout compté correctement. Le dépôt a été retiré précisément à cause du cours. Pour moi personnellement, il n'y a pas de plafond de montant. J'adore le faire et en tirer un profit. Il n'y a jamais trop d'argent, mais il y a toujours le risque de ne pas avoir assez d'argent. Bien que, en parlant d'annonceurs, on pensait que 50 millions de dollars suffisaient et se retirait. Cependant, après quatre mois, il est revenu - il n'y avait pas assez d'argent. Pensez-y.
DS: Vous avez dit plus tôt que vous restiez apolitique et que vous aviez une motivation purement financière. Mais si vous décidez que vous avez gagné assez d'argent, votre point de vue peut-il changer et vous décidez d'influencer la géopolitique?
UNK:Je ne veux vraiment pas être une monnaie d'échange. Nous nous sommes tournés vers la politique, et rien de bon n'en est sorti - seulement des pertes. Avec la relation géopolitique actuelle, nous gagnons beaucoup d'argent sans aucune interférence.
DS: Qu'est - ce qui rend REvil si spécial? Le code? Affiliés? L'attention des médias?
UNK:Je pense que tout fonctionne ensemble. Par exemple, ceci est une interview. Il semble, pourquoi est-ce nécessaire du tout? En revanche, nous lui donnerons mieux que nos concurrents. Des idées inhabituelles, de nouvelles méthodes et la réputation de la marque donnent tous de bons résultats. Comme je l'ai dit, nous créons une nouvelle branche de développement de ransomware. Si vous regardez les concurrents, alors, malheureusement, beaucoup copient simplement nos idées et, plus surprenant, le style du texte de nos messages. C'est bien - ils essaient de montrer qu'ils ne sont pas pires que nous, ils essaient d'atteindre notre niveau et même s'efforcent de surpasser quelque chose. Par exemple, avec ces versions de Linux et ainsi de suite. Mais c'est temporaire. Bien sûr, nous travaillons également sur tout cela, mais avec une mise en garde - tout ira bien mieux. Par conséquent, un peu plus lent.
REvil utilise son "Happy Blog" sur le darknet pour annoncer des enchères pour les victimes de ransomwares non payées.
JS: Elliptic Curve Cryptography (ECC) était un très bon choix [note de l'éditeur: ECC a une taille de clé plus petite que le système de clé publique basé sur RSA, ce qui le rend attrayant pour les affiliés] de quoi êtes-vous fier, de quelle partie du code ? Comment décidez-vous quand ajouter de nouvelles fonctionnalités à votre code?
UNK: recherche IOCP, connexion inversée empruntée aux crabes [cardeurs], protection côté serveur - de nombreux avantages, meilleures critiques de lecture. Personnellement, j'aime beaucoup le système de cryptage. Cela s'est avéré presque parfait.
DS:J'ai été impressionné par la variété de packers et de ransomwares que j'ai trouvés dans vos malwares. Les vendez-vous à d'autres? J'ai vu une fois l'un d'entre eux être utilisé dans un échantillon du malware Maze. Les vendez-vous ou l'un de vos employés est-il allé chez un concurrent?
UNK: Les partenaires changent souvent, et à cause de cela, il y a une telle variété.
DS: Pavel Sitnikov a dit que vous aviez acheté le code GandCrab de Maxim Plakhtiy, est-ce vrai?
UNK : C'est vrai que nous l'avons acheté, mais nous ne connaissons pas les noms et tout.
DS: Pensez-vous que les ransomwares sont l'arme parfaite pour la cyberguerre? N'avez-vous pas peur qu'un jour une vraie guerre ne commence?
UNK:Oui, ces armes peuvent être très destructrices. Eh bien, je sais que de nombreux affiliés ont accès à un système de lancement de missiles balistiques, un à un croiseur de l'US Navy, un à une centrale nucléaire et un à une usine d'armes. Il est tout à fait possible de déclencher une guerre. Mais cela n'en vaut pas la peine - les conséquences sont mauvaises.
DS: Quelles autres régions en dehors de la CEI [principalement des républiques post-soviétiques] essayez-vous d'éviter? Quelles organisations ne paient jamais?
UNK: Tous les pays de la CEI, y compris la Géorgie et l'Ukraine. Principalement à cause de la géopolitique. Deuxièmement, à cause des lois. Troisièmement, nous en évitons certains à cause du patriotisme. Les pays très pauvres ne paient pas: l'Inde, le Pakistan, l'Afghanistan, etc.
DS:Vous avez mentionné plus tôt que vous et vos partenaires comprenez les risques de partir à l'étranger et ne voyagez pas. Pensez-vous que le «vent du changement» peut souffler et que les forces de l'ordre locales prêteront attention à vos opérations?
UNK: Si nous entrons dans la politique, alors oui. Si nous regardons les pays de la CEI, alors oui. À tous autres égards, nous restons neutres.
DS: Les criminels de la vieille école causent-ils des problèmes?
UNK: Non.
DS: Quelle est votre réaction habituelle lorsque vous voyez un gang d'extorsionneurs ou leur affilié être inculpé ou arrêté? Netwalker et Egregor ont réduit leurs opérations après les raids, que pensez-vous de cela?
UNK:Neutre. Il s'agit d'un flux de travail normal. En raison de la fermeture de Maze, nous n'avons fait qu'augmenter le nombre de partenaires. Donc pour nous, je dirais, dans un sens, c'est positif.
DS: Quel est le nombre maximum d'affiliés travaillant avec vous en même temps?
UNK: 60.
JS: Est-ce qu'ils partent parce qu'ils sont impliqués dans des ransomwares ou parce qu'ils commencent à travailler avec d'autres programmes pour obtenir de meilleurs tarifs? Vous rencontrez un problème lorsqu'un partenaire s'adresse à un concurrent?
UNK:Il existe deux options. 30% partent parce qu'ils ont suffisamment gagné. Mais, naturellement, ils reviennent toujours tôt ou tard. Dans le second cas, oui, ils vont à des concurrents qui pratiquent le dumping (jusqu'à 90%, etc.). Bien sûr, c'est désagréable, mais c'est de la concurrence. Cela signifie que nous devons nous assurer que les gens reviennent. Donnez-leur ce que les autres ne font pas.
DS: Certains groupes donnent un pourcentage de leurs revenus à des œuvres caritatives. Quelle est votre opinion à ce sujet? À qui aimeriez-vous donner un million?
UNK: Projets gratuits pour développer des outils d'anonymisation.
DS: Comment votre interaction avec les organisations de victimes a-t-elle changé depuis le début de la pandémie?
UNK:Beaucoup de choses ont changé. La crise se fait sentir, ils ne peuvent pas payer les sommes qui étaient auparavant. Sauf pour les sociétés pharmaceutiques. Je pense qu'ils devraient recevoir plus d'attention. Ils vont bien. Nous devons les aider.
DS: Vos opérateurs ciblent-ils les organisations qui ont une cyber-assurance?
UNK: Oui, c'est l'un des plats les plus délicieux. Surtout si vous piratez d'abord les assureurs - obtenez leur clientèle et travaillez de manière ciblée. Et après avoir parcouru la liste, vous pouvez prendre l'assureur lui-même.
DS: Que pensez-vous des négociateurs de ransomware? Est-il plus facile de traiter avec des professionnels? Aident-ils ou compliquent-ils la tâche?
UNK:70% sont nécessaires juste pour faire baisser le prix. Ils compliquent souvent la tâche. Eh bien, par exemple, l'entreprise a un chiffre d'affaires de 1 milliard de dollars. On leur extorque 1 million de dollars. Un négociateur vient et dit: on s'en fiche, on ne donnera pas plus de 15 000 $. Réduire le prix à 900 000 $. Il offre 20 000 $. Eh bien, alors nous nous rendons compte que parler avec lui n'a pas de sens, et nous commençons à publier des données pour que les propriétaires du réseau le frappent à la tête pour de telles négociations. Et, bien sûr, après de telles astuces, le prix ne fait qu'augmenter. Au lieu d'un million de dollars, ils en paieront un et demi. Personne n'aime les colporteurs, surtout avec les show-offs. Donc, le plus souvent, ils font plus de mal. Ils aident uniquement lors de l'achat de BTC ou Monero. Tout le reste est nuisible.
DS:Recommandez-vous des négociateurs spécifiques aux entreprises compromises ou en recherchent-ils un par eux-mêmes? Tout le monde n'a pas 100 BTC pour racheter des données, et il n'est pas facile de les obtenir en peu de temps.
UNK: Nous écrivons à des intermédiaires décents afin qu'ils connaissent le but et puissent établir un dialogue. Nous offrons aux bons revendeurs de bons rabais afin qu'ils réalisent un petit profit et que les entreprises paient moins. Quant au timing, nous pouvons toujours allouer du temps supplémentaire. En général, s'il est entendu que vous devez payer, mais pas tellement, nous trouverons un langage commun. Mais si nous recevons des messages fous comme "Pas d'argent" ou "Nous paierons un dixième", vous n'avez personne d'autre à blâmer que vous-même.
Les liens vers les attaques REvil sont compilés à partir de sources privées et clandestines. Gracieuseté de Recorded Future.
DS: Vous avez dit que vous vouliez appliquer une pression supplémentaire avec DDoS. Quelle est l'efficacité de ce programme?
UNK: Nous ne l'utilisons pas souvent, contrairement aux appels. Appeler des appels donne un très bon résultat. Nous appelons chaque cible, ainsi que leurs partenaires et journalistes - la pression augmente considérablement. Et après cela, si vous commencez à publier des fichiers, eh bien, c'est tout simplement génial. Mais mettre fin à DDoS est en train de tuer l'entreprise. Littéralement. Je pense que nous allons engager des poursuites contre les PDG et / ou les fondateurs d’entreprises. OSINT personnel, intimidation. Je pense que ce sera également une option très intéressante. Mais les victimes doivent comprendre que plus nous dépensons de ressources avant de payer la rançon, plus nous devrons payer.
DS: Dites-moi un secret.
UNK:Enfant, je fouillais dans les poubelles et fumais des mégots de cigarettes. J'ai marché 10 km pour aller à l'école. J'ai porté les mêmes vêtements pendant six mois. Dans ma jeunesse, je n'ai pas mangé dans un appartement commun pendant deux ou trois jours. Maintenant je suis millionnaire.