Comment des cybercriminels apparentés à Evil Corp tentent de brouiller leurs traces
Publié le 19 09 2022 | Mis à jour le 07 11 2024
Selon Mandiant, ces manœuvres doivent permettre à ces hackers malveillants d’échapper aux sanctions du Trésor américain qui ont coupé le robinet à cash de leurs activités criminelles.
Vous êtes perdus face à la profusion des rançongiciels à la dénomination parfois bien mystérieuse? Et bien, c’est justement l’effet recherché par les cybercriminels. Le géant de la cybersécurité Mandiant, récemment racheté par Google, vient à ce sujet de publier une note très instructive sur les manœuvres d’un groupe de cybercriminels fortement suspecté d’être apparenté à Evil Corp. Selon la firme, pour échapper aux sanctions du département du Trésor américain, ce groupe tente de brouiller les pistes en jonglant d’un rançongiciel à un autre.
Bonne nouvelle, les sanctions annoncées en décembre 2019 par l’administration américaine contre Evil Corp, soupçonné d’avoir amassé au moins 100 millions de dollars avec son malware bancaire Dridex, ont donc eu un effet. C’était alors “le groupe de cybercriminels le plus dangereux au monde”, estimait la police britannique. Bien que les poursuites américaines n’aient pas entraîné d’arrestation, elles ont visiblement bien coupé le robinet à cash des cybercriminels, en interdisant à des entreprises américaines “de s’engager dans des transactions” avec les mis en cause.
D’un rançongiciel à un autre
Résultat: depuis l’annonce des sanctions, les cybercriminels affiliés à Evil Corp “semblent avoir continuellement changé de rançongiciel”, écrit Mandiant, une observation également partagée par Sentinel One. Les cybercriminels auraient ainsi jonglé avec les rançongiciels Bitpaymer, Doppelpaymer, WastedLocker, Hades, Phoenix Cryptolocker, PayloadBin ou encore Macaw. Comme le rappelle Sentinel One, certains de ces programmes malveillants ont des “similitudes dans le code ou leur configuration” laissant penser que les auteurs sont les mêmes.