Ransomware à San Francisco : l’auteur présumé pris à son propre jeu

Sécurité
ransomware-san-francisco-lucratif

Un chercheur a piraté l’adresse e-mail associée au ransomware qui a paralysé les transports à San Francisco. Les données découvertes en disent long sur l’auteur présumé de l’attaque.

Quelques dizaines de bitcoins… multipliés par quelques dizaines de victimes : pour l’auteur de l’attaque contre le réseau des transports en commun de San Francisco, le business des rançongiciels est lucratif.

Un chercheur en sécurité a pu le constater en prenant le pirate à son propre jeu : il est, en l’occurrence, parvenu à s’infiltrer dans sa messagerie électronique.

L’adresse e-mail crypto27@yandex.com était mentionnée dans le message qui est apparu, vendredi dernier, sur les distributeurs de billets gérés par la SMFTA (San Francisco Municipal Transportation Agency). Elle devait faire office de point de contact avec le malfaiteur, qui réclamait 100 bitcoins en échange des clés de déchiffrement permettant de restaurer l’accès aux données des ordinateurs et des serveurs affectés par un ransomware.

Comment le chercheur susmentionné a-t-il pu accéder au compte de messagerie du pirate ? Il a, selon son confrère Brian Krebs, pu réinitialiser le mot de passe en devinant la réponse à la « question secrète ».

Un backup et des ultimatums

Dès lors, il a pu collecter une mine d’informations, toutes dupliquées sur une deuxième adresse e-mail : cryptom2016@yandex.com.

Il y a notamment ce message envoyé dans la soirée du vendredi 25 novembre – sous le pseudo « Andy Saolis », bien connu dans le monde de la sécurité IT – à Sean Cunnigham, responsable infrastructure pour la SMFTA, pour exiger la rançon de 100 bitcoins « en échange de 2 000 clés ».

C’est dans la lignée des 63 bitcoins que le pirate a réussi à extorquer à une firme industrielle basée aux États-Unis, comme en témoigne un e-mail du 20 novembre.

On constate que l’intéressé change régulièrement de porte-monnaie Bitcoin. « Pour des raisons de sécurité », explique-t-il parfois à des victimes qui ne paient pas immédiatement. À ces dernières, il fixe généralement des ultimatums au-delà desquels il menace soit d’augmenter le montant de la rançon, soit de détruire définitivement les données.

Ce petit jeu aurait rapporté l’équivalent de 140 000 dollars, rien que depuis le mois d’août. Et comme le souligne Brian Krebs, le compteur est sans doute monté plus haut : le pirate a utilisé au moins une autre adresse e-mail (w889901665@yandex.com, liée, sur Internet, à de nombreux sujets sur les rançongiciels Mamba et HDD Cryptor).

Origine Iran ?

La messagerie électronique du pirate contenait aussi, en clair, les identifiants pour accéder au serveur depuis lequel les dernières attaques ont été lancées. Le nombreux outils open source destinés à parcourir le Net à la recherche de vulnérabilités – notamment sur les produits serveur d’Oracle – tendent à démontrer que le but était de compromettre d’autres systèmes qui devaient à leur tour devenir des vecteurs de propagation du ransomware.

On s’aperçoit aussi que le pirate n’hésite pas à réclamer une plus grosse somme en échange de « conseils de sécurité ». Dans un cas, il a communiqué à sa victime un lien vers un bulletin de sécurité d’Oracle et les correctifs associés…

Mais au fait, que sait-on sur la personne ?

Les dates, heures et IP associés à chaque connexion au serveur permettent de localiser l’individu en Iran, surtout que les alertes envoyées aux victimes en anglais dans le texte semblent avoir été traduits du persan, langue officielle du pays.

Émettant plus de doutes sur le numéro de téléphone +78234512271 associé à un opérateur russe, Brian Krebs précise que son collègue a déniché les chaînes de caractères « Mokhi » et « Alireza », cette dernière pouvant faire référence au patronyme Ali Reza, très fréquent au Moyen-Orient, car c’est aussi le nom d’un descendant du prophète Mahomet.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur