Les hackers du rançongiciel Colonial pipeline avaient une arme secrète : les entreprises de cybersécurité autopromues

Cinq mois avant que DarkSide n'attaque le pipeline Colonial, deux chercheurs ont découvert un moyen de sauver ses victimes de ransomwares. Ensuite, l'annonce d'une société d'antivirus a alerté les pirates.





Réservoirs du pipeline colonial

Drew Angerer/Getty Images

24 mai 2021

Le 11 janvier, la société antivirus Bitdefender a déclaré qu'elle était heureuse d'annoncer une percée surprenante. Il avait trouvé une faille dans le ransomware qu'un gang connu sous le nom de DarkSide utilisait pour geler les réseaux informatiques de dizaines d'entreprises aux États-Unis et en Europe. Les entreprises confrontées à des demandes de DarkSide pourraient télécharger un outil gratuit de Bitdefender et éviter de payer des millions de dollars en rançon aux pirates.

Mais Bitdefender n'était pas le premier à identifier ce défaut. Deux autres chercheurs, Fabian Wosar et Michel Gillespie , l'avait remarqué le mois précédent et avait commencé discrètement à chercher des victimes à aider. En faisant connaître son outil, Bitdefender a alerté DarkSide de la défaillance, qui impliquait de réutiliser les mêmes clés numériques pour verrouiller et déverrouiller plusieurs victimes. Le lendemain, DarkSide a déclaré qu'il avait réparé le problème et que les nouvelles entreprises n'avaient rien à espérer.



Un merci spécial à BitDefender pour avoir aidé à résoudre nos problèmes, a déclaré DarkSide. Cela nous rendra encore meilleurs.

DarkSide a rapidement prouvé qu'il ne bluffait pas, déclenchant une série d'attaques. Ce mois-ci, il a paralysé la Colonial Pipeline Co., provoquant une fermer du pipeline de 5 500 milles qui transporte 45 % du carburant utilisé sur la côte Est, suivi rapidement par une hausse des prix de l'essence, des achats de panique dans le Sud-Est et la fermeture de milliers de stations-service. En l'absence de l'annonce de Bitdefender, il est possible que la crise ait été contenue et que Colonial ait discrètement restauré son système avec l'outil de décryptage de Wosar et Gillespie.

Au lieu de cela, Colonial a payé à DarkSide 4,4 millions de dollars en Bitcoin pour une clé permettant de déverrouiller ses fichiers. J'admettrai que je n'étais pas à l'aise de voir de l'argent sortir de la porte à des gens comme ça, a déclaré le PDG Joseph Blount au Wall Street Journal.



L'occasion manquée faisait partie d'un schéma plus large de réponses bâclées ou timides à la menace croissante des ransomwares, qui, pendant la pandémie, ont désactivé les entreprises, les écoles, les hôpitaux et les agences gouvernementales à travers le pays. L'incident montre également comment les sociétés d'antivirus désireuses de se faire un nom violent parfois l'une des règles cardinales du jeu du chat et de la souris de la cyberguerre : ne laissez pas vos adversaires savoir ce que vous avez découvert. Pendant la Seconde Guerre mondiale, lorsque les services secrets britanniques ont appris par des communications décryptées que la Gestapo prévoyait d'enlever et d'assassiner un précieux agent double, Johnny Jebsen, son maître n'a pas été autorisé à l'avertir de peur d'indiquer à l'ennemi que son chiffrement avait été fissuré. Aujourd'hui, les chasseurs de rançongiciels comme Wosar et Gillespie tentent de prolonger l'ignorance des attaquants, même au prix de contacter moins de victimes. Tôt ou tard, au fur et à mesure que les paiements diminuent, les cybercriminels se rendent compte que quelque chose ne va pas.

Que ce soit pour vanter un outil de décryptage est une décision calculée, a déclaré Rob McLeod, directeur principal de l'unité de réponse aux menaces pour la société de cybersécurité eSentire. Du point de vue marketing, vous chantez cette chanson sur les toits sur la façon dont vous avez mis au point une solution de sécurité qui déchiffrera les données d'une victime. Et puis l'angle du chercheur en sécurité dit: 'Ne divulguez aucune information ici'. Gardez les bogues de ransomware que nous avons trouvés qui nous permettent de décoder les données secrètes, afin de ne pas avertir les acteurs de la menace.

Dans un post sur le dark web, DarkSide a remercié Bitdefender d'avoir identifié une faille dans le ransomware du gang. (Mise en surbrillance ajoutée par ProPublica.)



Wosar a déclaré que la diffusion publique d'outils, comme l'a fait Bitdefender, est devenue plus risquée à mesure que les rançons ont grimpé en flèche et que les gangs sont devenus plus riches et plus compétents sur le plan technique. Au début des rançongiciels, lorsque les pirates informatiques gelaient les ordinateurs personnels pour quelques centaines de dollars, ils ne pouvaient souvent pas déterminer comment leur code avait été cassé à moins que la faille ne leur soit spécifiquement signalée.

Aujourd'hui, les créateurs de rançongiciels ont accès à des rétro-ingénieurs et à des testeurs d'intrusion qui sont très très compétents, a-t-il déclaré. C'est ainsi qu'ils accèdent à ces réseaux souvent hautement sécurisés. Ils téléchargent le décrypteur, ils le désassemblent, ils le désossent et ils comprennent exactement pourquoi nous avons pu décrypter leurs fichiers. Et 24 heures plus tard, tout est réglé. Bitdefender aurait dû savoir mieux.

La crise des rançongiciels pourrait-elle forcer une action contre la Russie ?

Les yeux fermés de Moscou sur les cybercriminels ont rendu l'escalade des attaques inévitable, selon les experts. Mais changer d'approche est plus facile à dire qu'à faire.



Ce n'était pas la première fois que Bitdefender vantait une solution contre laquelle Wosar ou Gillespie l'avaient battu. Gillespie avait cassé le code d'une souche de ransomware appelée GoGoogle, et aidait les victimes sans fanfare, lorsque Bitdefender a publié un décryptage outil en mai 2020. D'autres entreprises ont également annoncé publiquement des percées, ont déclaré Wosar et Gillespie.

Les gens recherchent désespérément une mention dans les nouvelles, et les grandes entreprises de sécurité ne se soucient pas des victimes, a déclaré Wosar.

Bogdan Botezatu, directeur de la recherche sur les menaces chez Bitdefender, basé à Bucarest, en Roumanie, a déclaré que la société n'était pas au courant du succès antérieur dans le déverrouillage des fichiers infectés par DarkSide.

Quoi qu'il en soit, a-t-il déclaré, Bitdefender a décidé de publier son outil car la plupart des victimes qui tombent dans le piège des ransomwares n'ont pas la bonne connexion avec les groupes de support des ransomwares et ne sauront pas où demander de l'aide à moins qu'elles ne puissent apprendre l'existence d'outils à partir des médias. ou avec une simple recherche.

Bitdefender a fourni une assistance technique gratuite à plus d'une douzaine de victimes de DarkSide, et nous pensons que beaucoup d'autres ont utilisé l'outil avec succès sans notre intervention, a déclaré Botezatu. Au fil des ans, Bitdefender a aidé des particuliers et des entreprises à éviter de payer plus de 100 millions de dollars de rançon, a-t-il déclaré.

Bitdefender a reconnu que DarkSide pourrait corriger la faille, Botezatu a déclaré : Nous sommes bien conscients que les attaquants sont agiles et s'adaptent à nos décrypteurs. Mais DarkSide a peut-être repéré le problème de toute façon. Nous ne croyons pas aux décrypteurs de rançongiciels rendus silencieusement disponibles. Les attaquants apprendront leur existence en se faisant passer pour des utilisateurs à domicile ou des entreprises dans le besoin, tandis que la grande majorité des victimes n'auront aucune idée qu'elles peuvent récupérer leurs données gratuitement.


L'attaque du pipeline colonial , et le chaos qui s'en est suivi aux pompes à essence dans tout le Sud-Est, semblent avoir incité le gouvernement fédéral à être plus vigilant. Le président Joe Biden a publié un décret exécutif pour améliorer la cybersécurité et créer un plan pour une réponse fédérale aux cyberattaques. DarkSide a déclaré qu'il fermait sous la pression des États-Unis, bien que les équipes de rançongiciels se soient souvent dissoutes pour éviter un examen minutieux, puis reformées sous de nouveaux noms, ou que leurs membres aient lancé ou rejoint d'autres groupes.

Aussi sophistiqués soient-ils, ces types réapparaîtront et ils seront d'autant plus intelligents, a déclaré Aaron Tantleff, un avocat spécialisé dans la cybersécurité de Chicago qui a consulté 10 entreprises attaquées par DarkSide. Ils reviendront avec une vengeance.

'Les gens ont désespérément besoin d'une mention dans les nouvelles, et les grandes entreprises de sécurité ne se soucient pas des victimes.'

Fabian Wosar, équipe de chasse aux ransomwares

Au moins jusqu'à présent, les chercheurs privés et les entreprises ont souvent été plus efficaces que le gouvernement dans la lutte contre les ransomwares. En octobre dernier, Microsoft a perturbé l'infrastructure de Trickbot, un réseau de plus d'un million d'ordinateurs infectés qui a diffusé la célèbre souche de rançongiciel Ryuk, en désactivant ses serveurs et ses communications. Ce mois-là, ProtonMail, le service de messagerie basé en Suisse, a fermé 20 000 comptes liés à Ryuk.

Wosar et Gillespie, qui appartiennent à un groupe de bénévoles mondial appelé Ransomware Hunting Team, ont piraté plus de 300 principales souches et variantes de ransomwares, évitant ainsi à environ 4 millions de victimes de payer des milliards de dollars.

En revanche, le FBI déchiffre rarement les rançongiciels ou arrête les attaquants, qui sont généralement basés dans des pays comme la Russie ou l'Iran qui n'ont pas d'accords d'extradition avec les États-Unis. DarkSide, par exemple, est censé opérer depuis la Russie. Beaucoup plus de victimes demandent l'aide de l'équipe de chasse, via des sites Web gérés par ses membres, que du FBI.

Les services secrets américains enquêtent également sur les rançongiciels, qui relèvent de leur compétence en matière de lutte contre les délits financiers. Mais, surtout pendant les années électorales, il fait parfois tourner des agents hors des cyber-affectations pour mener à bien sa mission mieux connue de protéger les présidents, les vice-présidents, les candidats des grands partis et leurs familles. Les forces de l'ordre européennes, en particulier la police nationale néerlandaise, ont mieux réussi que les États-Unis à arrêter les attaquants et à saisir les serveurs.

Une vague de rançongiciels frappe les hôpitaux américains alors que le coronavirus augmente Une attaque sans précédent et opportuniste soulève une question inquiétante : cela coûtera-t-il une vie ?

De même, le gouvernement américain n'a fait que des progrès modestes en poussant l'industrie privée, y compris les sociétés pipelinières, à renforcer les défenses en matière de cybersécurité. La surveillance de la cybersécurité est divisée entre une soupe alphabétique d'agences, ce qui entrave la coordination. Le Department of Homeland Security effectue des évaluations de vulnérabilité pour les infrastructures critiques, qui comprennent les pipelines.

Il a examiné Colonial Pipeline vers 2013 dans le cadre d'une étude des endroits où une cyberattaque pourrait provoquer une catastrophe. Le pipeline a été jugé résilient, ce qui signifie qu'il pourrait récupérer rapidement, selon un ancien responsable du DHS. Le ministère n'a pas répondu aux questions sur les examens ultérieurs.

Cinq ans plus tard, le DHS a créé un pipeline de cybersécurité initiative identifier les faiblesses des systèmes informatiques des pipelines et recommander des stratégies pour y remédier. La participation est volontaire, et une personne familière avec l'initiative a déclaré qu'elle est plus utile pour les petites entreprises ayant une expertise informatique interne limitée que pour les grandes comme Colonial. Le Centre national de gestion des risques, qui supervise l'initiative, est également aux prises avec d'autres problèmes épineux. problèmes comme la sécurité électorale.


Les ransomwares ont explosé depuis 2012 , lorsque l'avènement de Bitcoin a rendu difficile le suivi ou le blocage des paiements. Les tactiques des criminels ont évolué, passant de campagnes de pulvérisation et de prière aveugles à la recherche de quelques centaines de dollars chacune à des entreprises ciblées, des agences gouvernementales et des groupes à but non lucratif avec des demandes de plusieurs millions de dollars.

Les attaques contre les entreprises énergétiques en particulier ont augmenté pendant la pandémie, non seulement aux États-Unis, mais au Canada, en Amérique latine et en Europe. Comme les entreprises ont autorisé les employés à travailler à domicile, elles ont assoupli certains contrôles de sécurité, a déclaré McLeod.

DarkSide a adopté ce que l'on appelle un modèle de rançongiciel en tant que service. Dans le cadre de ce modèle, il s'est associé à des affiliés qui ont lancé les attaques. Les affiliés ont reçu 75% à 90% de la rançon, DarkSide gardant le reste.

Depuis 2019, de nombreux gangs ont fait monter la pression avec une technique connue sous le nom de double extorsion. En entrant dans un système, ils volent des données sensibles avant de lancer un ransomware qui encode les fichiers et empêche les hôpitaux, les universités et les villes de faire leur travail quotidien. Si la perte d'accès à l'ordinateur n'est pas suffisamment intimidante, ils menacent de révéler des informations confidentielles, publiant souvent des échantillons comme levier. Par exemple, lorsque le département de police de Washington, DC, n'a pas payé la rançon de 4 millions de dollars exigée par un gang appelé Babuk le mois dernier, Babuk a publié des notes d'information sur le renseignement, les noms de suspects et de témoins, et des dossiers personnels, allant des informations médicales au test polygraphique. résultats, des officiers et des candidats à l'emploi.

DarkSide, qui a émergé en août dernier, incarnait cette nouvelle race. Il a choisi des cibles sur la base d'une analyse financière minutieuse ou d'informations glanées dans les e-mails d'entreprise. Par exemple, il a attaqué l'un des clients de Tantleff pendant une semaine alors que les pirates savaient que l'entreprise serait vulnérable car elle transférait ses fichiers vers le cloud et ne disposait pas de sauvegardes propres.

Pour infiltrer les réseaux cibles, le gang a utilisé des méthodes avancées telles que les exploits zero-day qui tirent immédiatement parti des vulnérabilités logicielles avant qu'elles ne puissent être corrigées. Une fois à l'intérieur, il s'est déplacé rapidement, à la recherche non seulement de données sensibles, mais également de la police d'assurance cyber de la victime, afin de pouvoir lier ses demandes au montant de la couverture. Après deux à trois jours de fouille, DarkSide a crypté les fichiers.

Ils ont une fenêtre d'attaque plus rapide, a déclaré Christopher Ballod, directeur général associé du cyber-risque chez Kroll, le cabinet d'enquêtes commerciales, qui a conseillé une demi-douzaine de victimes de DarkSide. Plus vous resterez longtemps dans le système, plus vous risquez d'être pris.

En règle générale, les demandes de DarkSide se situaient dans le haut de l'échelle, 5 millions de dollars et plus, a déclaré Ballod. Une tactique effrayante : si les sociétés cotées en bourse ne payaient pas la rançon, DarkSide menaçait de partager les informations qui leur avaient été volées avec des vendeurs à découvert qui en tireraient profit si le cours de l'action baissait lors de la publication.

Le site de DarkSide sur le dark web a identifié des dizaines de victimes et décrit les données confidentielles qu'il prétendait leur avoir volées. L'un était le cabinet d'avocats de la Nouvelle-Orléans Stone Pigman Walther Wittmann. Un gros ennui est ce que c'était, a déclaré l'avocat Phil Wittmann, faisant référence à l'attaque de DarkSide en février. Nous ne leur avons rien payé, a déclaré Michael Walshe Jr., président du comité de direction de l'entreprise, refusant de commenter davantage.

En novembre dernier, DarkSide adopté ce que l'on appelle un modèle de rançongiciel en tant que service. Dans le cadre de ce modèle, il s'est associé à des affiliés qui ont lancé les attaques. Les affiliés a reçu 75% à 90% de la rançon, DarkSide gardant le reste. Comme le suggère ce partenariat, l'écosystème des rançongiciels est un miroir déformé de la culture d'entreprise, avec tout, des entretiens d'embauche aux procédures de gestion des litiges. Après la fermeture de DarkSide, plusieurs personnes qui se sont identifiées comme ses affiliés se sont plaintes sur un forum de règlement des différends qu'il les avait raidies. La cible a payé, mais je n'ai pas reçu ma part, écrit-on.

Ensemble, DarkSide et ses affiliés auraient rapporté au moins 90 millions de dollars. Sept des clients de Tantleff, dont deux entreprises du secteur de l'énergie, ont payé des rançons allant de 1,25 million de dollars à 6 millions de dollars, reflétant des remises négociées entre les demandes initiales de 7,5 millions de dollars et 30 millions de dollars. Ses trois autres clients touchés par DarkSide n'ont pas payé. Dans l'un de ces cas, les pirates ont exigé 50 millions de dollars. Les négociations sont devenues acrimonieuses et les deux parties n'ont pas pu s'entendre sur un prix.

Les représentants de DarkSide étaient des négociateurs avisés, a déclaré Tantleff. Si une victime disait qu'elle ne pouvait pas payer la rançon à cause de la pandémie, DarkSide était prêt avec des données montrant que les revenus de l'entreprise étaient en hausse, ou que l'impact de covid-19 était pris en compte dans le prix.

La compréhension de DarkSide de la géopolitique était moins avancée que son approche des ransomwares. À peu près au même moment où il a adopté le modèle d'affiliation, il a annoncé qu'il prévoyait de protéger les informations volées aux victimes en les stockant sur des serveurs en Iran. DarkSide n'a apparemment pas réalisé qu'une connexion iranienne compliquerait sa collecte de rançons auprès des victimes aux États-Unis, qui ont des sanctions économiques limitant les transactions financières avec l'Iran. Bien que DarkSide soit ensuite revenu sur cette déclaration, affirmant qu'il n'avait considéré que l'Iran comme un emplacement possible, de nombreux cyber-assureurs avaient des inquiétudes quant à la couverture des paiements au groupe. Coveware, une entreprise du Connecticut qui négocie avec les attaquants au nom des victimes, a cessé de traiter avec DarkSide.

Ballod a déclaré qu'avec leurs assureurs refusant de rembourser la rançon, aucun de ses clients n'a payé DarkSide, malgré les inquiétudes concernant l'exposition de leurs données. Même s'ils avaient cédé à DarkSide et avaient reçu des pirates l'assurance en retour que les données seraient déchiquetées, les informations pourraient encore fuir, a-t-il déclaré.


Lors du passage de DarkSide au modèle d'affiliation , une faille a été introduite dans son rançongiciel. La vulnérabilité a attiré l'attention des membres de l'équipe de chasse Ransomware. Créée en 2016, l'équipe sur invitation uniquement se compose d'une douzaine de bénévoles aux États-Unis, en Espagne, en Italie, en Allemagne, en Hongrie et au Royaume-Uni. Ils travaillent dans la cybersécurité ou dans des domaines connexes. Pendant leur temps libre, ils collaborent à la recherche et au décryptage de nouvelles souches de ransomwares.

Plusieurs membres, dont Wosar, ont peu d'éducation formelle mais une aptitude au codage. Décrocheur du secondaire, Wosar a grandi dans une famille ouvrière près de la ville portuaire allemande de Rostock. En 1992, à l'âge de huit ans, il a vu un ordinateur pour la première fois et a été ravi. À 16 ans, il développait son propre logiciel antivirus et en tirait des bénéfices. Aujourd'hui âgé de 37 ans, il travaille pour la société antivirus Emsisoft depuis sa création il y a près de deux décennies et en est le directeur de la technologie. Il a quitté l'Allemagne pour le Royaume-Uni en 2018 et vit près de Londres.

Il lutte contre les pirates de rançongiciels depuis 2012, lorsqu'il a piraté une souche appelée ACCDFISA, qui signifie Anti Cyber ​​Crime Department of Federal Internet Security Agency. Cette agence fictive informait les gens que la pornographie juvénile avait infecté leurs ordinateurs et bloquait donc l'accès à leurs fichiers à moins qu'ils ne paient 100 $ pour supprimer le virus.

Google dit qu'il est trop facile pour les pirates de trouver de nouvelles failles de sécurité Les attaquants exploitent sans cesse les mêmes types de vulnérabilités logicielles, car les entreprises manquent souvent la forêt pour les arbres.

Le pirate ACCDFISA a finalement remarqué que la souche avait été décryptée et a publié une version révisée. Bon nombre des triomphes ultérieurs de Wosar ont également été éphémères. Lui et ses coéquipiers ont essayé de garder les criminels parfaitement inconscients aussi longtemps que possible que leur souche était vulnérable. Ils ont laissé des messages cryptés sur des forums invitant les victimes à les contacter pour obtenir de l'aide ou ont envoyé des messages directs aux personnes qui ont posté qu'ils avaient été attaqués.

Dans le cadre de la protection contre les intrusions informatiques, les analystes des sociétés antivirus ont parfois détecté des failles de ransomware et construit des outils de décryptage, même si ce n'était pas leur objectif principal. Parfois, ils sont entrés en collision avec Wosar.

En 2014, Wosar a découvert qu'une souche de ransomware appelée CryptoDefense copiait et collait à partir de Microsoft Windows une partie du code utilisé pour verrouiller et déverrouiller les fichiers, sans se rendre compte que le même code était conservé dans un dossier sur l'ordinateur de la victime. Il manquait le signal, ou indicateur, dans leur programme, généralement inclus par les créateurs de rançongiciels pour demander à Windows de ne pas enregistrer une copie de la clé.

Wosar a rapidement développé un outil de décryptage pour récupérer la clé. Nous avons fait face à une énigme intéressante, Sarah White, un autre membre de l'équipe de chasse, a écrit sur Emsisoft Blog . Comment diffuser notre outil au plus grand nombre de victimes possible sans alerter le développeur de malware de son erreur ?

Wosar a discrètement recherché les victimes de CryptoDefense par le biais de forums d'assistance, de réseaux de bénévoles et d'annonces indiquant où contacter pour obtenir de l'aide. Il a évité de décrire le fonctionnement de l'outil ou la bévue qu'il exploitait. Lorsque les victimes se sont manifestées, il a fourni le correctif, en nettoyant le ransomware d'au moins 350 ordinateurs. CryptoDefense a fini par nous comprendre... mais il n'avait toujours pas accès au décrypteur que nous utilisions et n'avait aucune idée de la façon dont nous déverrouillions les fichiers de ses victimes, a écrit White.

« Nous avons été confrontés à une énigme intéressante… Comment diffuser notre outil au plus grand nombre de victimes possible sans alerter le développeur de logiciels malveillants de son erreur ?

Sarah White, équipe de chasse aux rançongiciels

Mais ensuite, une société antivirus, Symantec, a découvert le même problème et s'est vanté de la découverte sur un article de blog contenant suffisamment d'informations pour aider le développeur de CryptoDefense à trouver et à corriger la faille, a écrit White. Dans les 24 heures, les attaquants ont commencé à diffuser une version révisée. Ils ont changé son nom en CryptoWall et fait 325 millions de dollars.

Symantec a choisi une publicité rapide plutôt que d'aider les victimes de CryptoDefense à récupérer leurs fichiers, a écrit White. Parfois, il y a des choses qu'il vaut mieux ne pas dire.

Une porte-parole de Broadcom, qui a acquis l'activité de sécurité d'entreprise de Symantec en 2019, a refusé de commenter, affirmant que les membres de l'équipe qui ont travaillé sur l'outil ne font plus partie de l'entreprise.


Comme Wosar, le joueur de 29 ans Gillespie vient de la pauvreté et n'est jamais allé à l'université. Lorsqu'il grandissait dans le centre de l'Illinois, sa famille avait tellement de difficultés financières qu'elle devait parfois emménager chez des amis ou des parents. Après le lycée, il a travaillé à temps plein pendant 10 ans dans une chaîne de réparation d'ordinateurs appelée Nerds on Call. L'année dernière, il est devenu chercheur sur les logiciels malveillants et la cybersécurité chez Coveware.

En décembre dernier, il a envoyé un message à Wosar pour obtenir de l'aide. Gillespie avait travaillé avec une victime de DarkSide qui avait payé une rançon et reçu un outil pour récupérer les données. Mais le décrypteur de DarkSide avait la réputation d'être lent, et la victime espérait que Gillespie pourrait accélérer le processus.

Gillespie a analysé le logiciel, qui contenait une clé pour libérer les fichiers. Il voulait extraire la clé, mais parce qu'elle était stockée d'une manière inhabituellement complexe, il ne pouvait pas. Il se tourna vers Wosar, qui put l'isoler.

Les coéquipiers ont alors commencé à tester la clé sur d'autres fichiers infectés par DarkSide. Gillespie a vérifié les fichiers téléchargés par les victimes sur le site Web qu'il exploite, ID Ransomware, tandis que Wosar a utilisé VirusTotal, une base de données en ligne de logiciels malveillants présumés.

Cette nuit-là, ils ont partagé une découverte.

J'ai la confirmation que DarkSide réutilise ses clés RSA, a écrit Gillespie à l'équipe de chasse sur sa chaîne Slack. Type de cryptographie, RSA génère deux clés : une clé publique pour encoder les données et une clé privée pour les déchiffrer. RSA est utilisé légitimement pour protéger de nombreux aspects du commerce électronique, tels que la protection des numéros de crédit. Mais il a également été coopté par des pirates de rançongiciels.

J'ai remarqué la même chose que j'ai pu décrypter des fichiers nouvellement cryptés à l'aide de leur décrypteur, a répondu Wosar moins d'une heure plus tard, à 2 h 45, heure de Londres.

Leur analyse a montré qu'avant d'adopter le modèle d'affiliation, DarkSide avait utilisé une clé publique et privée différente pour chaque victime. Wosar soupçonnait que lors de cette transition, DarkSide avait introduit une erreur dans son portail d'affiliation utilisé pour générer le ransomware pour chaque cible. Wosar et Gillespie pouvaient désormais utiliser la clé que Wosar avait extraite pour récupérer les fichiers des machines Windows saisies par DarkSide. L'erreur cryptographique n'a pas affecté les systèmes d'exploitation Linux.

Comment les responsables protègent les élections contre les pirates de rançongiciels Les inquiétudes concernant une attaque contre les systèmes électoraux sont réelles. Mais un piratage n'endommagerait pas autant le vote que la désinformation qui en résulterait.

Nous nous grattions la tête, a déclaré Wosar. Pouvaient-ils vraiment avoir merdé à ce point ? DarkSide était l'un des programmes de ransomware en tant que service les plus professionnels. Pour eux, faire une erreur aussi énorme est très, très rare.

L'équipe de chasse a célébré tranquillement, sans chercher de publicité. White, qui est étudiant en informatique à Royal Holloway, qui fait partie de l'Université de Londres, a commencé à chercher des victimes de DarkSide. Elle a contacté des entreprises qui s'occupent de la criminalistique numérique et de la réponse aux incidents.

Nous leur avons dit : « Hé, écoutez, si vous avez des victimes de DarkSide, dites-leur de nous contacter ; nous pouvons les aider. Nous pouvons récupérer leurs fichiers et ils n'ont pas à payer une énorme rançon », a déclaré Wosar.

Les pirates de DarkSide ont surtout pris la saison de Noël. Gillespie et Wosar s'attendaient à ce que lorsque les attentats reprennent au début de l'année, leur découverte aiderait des dizaines de victimes. Mais Bitdefender a ensuite publié son article, sous le titre Darkside Ransomware Decryption Tool.

Dans un canal de messagerie avec la communauté de réponse aux ransomwares, quelqu'un a demandé pourquoi Bitdefender avertirait les pirates. Publicité, a répondu White. Cela semble bon. Je peux garantir qu'ils vont le réparer beaucoup plus rapidement maintenant.

Elle avait raison. Le lendemain, DarkSide a reconnu l'erreur que Wosar et Gillespie avaient trouvée avant Bitdefender. En raison du problème de génération de clés, certaines entreprises ont les mêmes clés, ont écrit les pirates, ajoutant que jusqu'à 40 % des clés étaient affectées.

DarkSide s'est moqué de Bitdefender pour avoir publié le décrypteur au mauvais moment... car notre activité et celle de nos partenaires pendant les vacances du Nouvel An sont au plus bas.

Ajoutant aux frustrations de l'équipe, Wosar a découvert que l'outil Bitdefender avait ses propres inconvénients. À l'aide du décrypteur de la société, il a tenté de déverrouiller des échantillons infectés par DarkSide et a découvert qu'ils avaient été endommagés au cours du processus. Ils ont en fait mal implémenté le décryptage, a déclaré Wosar. Cela signifie que si les victimes ont utilisé l'outil Bitdefender, il y a de fortes chances qu'elles aient endommagé les données.

Interrogé sur les critiques de Wosar, Botezatu a déclaré que la récupération des données est difficile et que Bitdefender a pris toutes les précautions pour s'assurer que nous ne compromettons pas les données des utilisateurs, y compris des tests exhaustifs et un code qui évalue si le fichier décrypté résultant est valide.

Même sans Bitdefender, DarkSide aurait peut-être bientôt réalisé son erreur de toute façon, ont déclaré Wosar et Gillespie. Par exemple, alors qu'ils parcouraient des réseaux compromis, les pirates auraient pu tomber sur des e-mails dans lesquels des victimes aidées par l'équipe de chasse discutaient de la faille.

Ils pourraient le comprendre de cette façon - c'est toujours une possibilité, a déclaré Wosar. Mais c'est particulièrement douloureux si une vulnérabilité est brûlée par quelque chose de stupide comme celui-ci.

L'incident a conduit l'équipe de chasse à inventer un terme pour l'exposition prématurée d'une faiblesse dans une souche de ransomware. En interne, nous plaisantons souvent, 'Ouais, ils vont probablement sortir un Bitdefender', a déclaré Wosar.


Cette histoire a été co-publiée avec ProPublica, une salle de presse à but non lucratif qui enquête sur les abus de pouvoir. Renee Dudley et Daniel Golden se sont concentrés sur les ransomwares pour ProPublica et travaillent sur un livre sur l'équipe de chasse aux ransomwares, qui sera publié l'année prochaine par Farrar, Straus et Giroux.

Inscrivez-vous pour recevoir Les plus grandes histoires de ProPublica dès qu'ils sont publiés.