Quelques dizaines de bitcoins… multipliés par quelques dizaines de victimes : pour l’auteur de l’attaque contre le réseau des transports en commun de San Francisco, le business des rançongiciels est lucratif.
Un chercheur en sécurité a pu le constater en prenant le pirate à son propre jeu : il est, en l’occurrence, parvenu à s’infiltrer dans sa messagerie électronique.
L’adresse e-mail crypto27@yandex.com était mentionnée dans le message qui est apparu, vendredi dernier, sur les distributeurs de billets gérés par la SMFTA (San Francisco Municipal Transportation Agency). Elle devait faire office de point de contact avec le malfaiteur, qui réclamait 100 bitcoins en échange des clés de déchiffrement permettant de restaurer l’accès aux données des ordinateurs et des serveurs affectés par un ransomware.
Comment le chercheur susmentionné a-t-il pu accéder au compte de messagerie du pirate ? Il a, selon son confrère Brian Krebs, pu réinitialiser le mot de passe en devinant la réponse à la « question secrète ».
Dès lors, il a pu collecter une mine d’informations, toutes dupliquées sur une deuxième adresse e-mail : cryptom2016@yandex.com.
Il y a notamment ce message envoyé dans la soirée du vendredi 25 novembre – sous le pseudo « Andy Saolis », bien connu dans le monde de la sécurité IT – à Sean Cunnigham, responsable infrastructure pour la SMFTA, pour exiger la rançon de 100 bitcoins « en échange de 2 000 clés ».
C’est dans la lignée des 63 bitcoins que le pirate a réussi à extorquer à une firme industrielle basée aux États-Unis, comme en témoigne un e-mail du 20 novembre.
On constate que l’intéressé change régulièrement de porte-monnaie Bitcoin. « Pour des raisons de sécurité », explique-t-il parfois à des victimes qui ne paient pas immédiatement. À ces dernières, il fixe généralement des ultimatums au-delà desquels il menace soit d’augmenter le montant de la rançon, soit de détruire définitivement les données.
Ce petit jeu aurait rapporté l’équivalent de 140 000 dollars, rien que depuis le mois d’août. Et comme le souligne Brian Krebs, le compteur est sans doute monté plus haut : le pirate a utilisé au moins une autre adresse e-mail (w889901665@yandex.com, liée, sur Internet, à de nombreux sujets sur les rançongiciels Mamba et HDD Cryptor).
La messagerie électronique du pirate contenait aussi, en clair, les identifiants pour accéder au serveur depuis lequel les dernières attaques ont été lancées. Le nombreux outils open source destinés à parcourir le Net à la recherche de vulnérabilités – notamment sur les produits serveur d’Oracle – tendent à démontrer que le but était de compromettre d’autres systèmes qui devaient à leur tour devenir des vecteurs de propagation du ransomware.
On s’aperçoit aussi que le pirate n’hésite pas à réclamer une plus grosse somme en échange de « conseils de sécurité ». Dans un cas, il a communiqué à sa victime un lien vers un bulletin de sécurité d’Oracle et les correctifs associés…
Mais au fait, que sait-on sur la personne ?
Les dates, heures et IP associés à chaque connexion au serveur permettent de localiser l’individu en Iran, surtout que les alertes envoyées aux victimes en anglais dans le texte semblent avoir été traduits du persan, langue officielle du pays.
Émettant plus de doutes sur le numéro de téléphone +78234512271 associé à un opérateur russe, Brian Krebs précise que son collègue a déniché les chaînes de caractères « Mokhi » et « Alireza », cette dernière pouvant faire référence au patronyme Ali Reza, très fréquent au Moyen-Orient, car c’est aussi le nom d’un descendant du prophète Mahomet.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…