DarkSide, des pros du "rançongiciel" attachés à leur image

Colonial Pipeline a été victime d'un rançongiciel utilisé par DarkSide. Ce groupe de cybercriminels est assez récent mais déjà très influent. Darkside, le groupe de cybercriminels désigné, lundi, par le FBI, comme responsable de l’attaque contre le géant américain des oléoducs, est un acteur relativement récent sur la scène des "rançongiciels". Son apparition dénote une professionnalisation du genre, avec un plus grand soin apporté à la communication, aux cibles à  extorquer et au recrutement des cyberpirates. Ils aiment la publicité mais pas à ce point-là. DarkSide, le groupe de cybercriminels désigné par le FBI, lundi 10 mai, comme responsable de l’attaque informatique contre le géant américain des oléoducs Colonial Pipeline, s’est lancé dans une opération éclair de relations publiques. “Notre but est de faire de l’argent, pas de créer des problèmes pour la société”, a assuré DarkSide sur son forum dans la nuit de lundi à mardi. Le groupe a même annoncé “mettre en place un système de modération et de vérification” des cibles avant toute attaque. Un pincée de code de conduite, beaucoup de communication Des cybercriminels qui ont des remords ? Et qui le font savoir par communiqué de presse ? Certes, l’attaque menée vendredi est d’une ampleur inédite, paralysant une partie de l’approvisionnement en carburant pour toute la côte Est des États-Unis et menaçant d’avoir des conséquences sur le prix de l’énergie pour des millions d’Américains.  Mais les pirates informatiques qui, comme DarkSide, sont spécialisés dans le "rançongiciel" - un logiciel malveillant permettant de prendre en otage des systèmes informatiques jusqu’au paiement d’une rançon - ont plutôt la réputation de placer l’appât du gain au-dessus de toute considération morale. C’est ainsi que, depuis le début de la pandémie de Covid-19,les hôpitaux et centres de soins sont devenus des cibles de choix pour ces cyberrançonneurs, au risque de mettre des vies en danger. DarkSide ne semble pas fait du même bois. Ou plutôt, ce groupe se présente comme le fer de lance d’une évolution récente du milieu du "rançongiciel" vers “une plus grande professionnalisation du secteur”, note Jean-Baptiste Guglielmine, expert en cybersécurité pour la société américaine Cybereason.  Apparu il y a à peine un an, en août 2020, DarkSide a annoncé d’entrée de jeu la couleur sur son forum, accessible uniquement sur le DarkNet (la partie du Web qui n’est pas référencée par les moteurs de recherche). Ces spécialistes du "rançongiciel", qui seraient basés en Russie ou dans un pays d’Europe de l’Est, auraient un code de conduite leur interdisant de viser “les écoles, les hôpitaux, les ONG et les gouvernements”. Pour parfaire leur image de marque, ces cybercriminels sont même allés jusqu'à effectuer, en octobre 2020, une donation de 20 000 dollars à plusieurs associations humanitaires - qui ont refusé l’argent. “Comme nous l’avons déjà dit, nous attaquons uniquement les grands groupes capables de payer. Et il nous semblait juste d’en reverser une partie à des causes charitables”, avaient alors affirmé ces pirates informatiques, qui espéraient ainsi passer pour des “Robin des bois”. Ces “as” du "rançongiciel" et de la communication se sont même dotés d’un espace presse sur leur forum pour mieux faire passer leur message. “Ils garantissent une réponse aux questions des journalistes sous 24 heures”, s’amuse l’expert de Cybereason.  Des “chasseurs de gros gibier”  Tout un dispositif de relations publiques “qui permet surtout à DarkSide de se différencier des autres acteurs dans un secteur très concurrentiel”, estime Gérôme Billois, spécialiste de la cybersécurité pour le cabinet de conseil Wavestone, contacté par France 24. C’est aussi “une manière pour eux d’être identifiés comme un acteur sérieux, professionnel, et auquel on peut faire ‘confiance’ lorsqu’on paie la rançon”, ajoute Dmitry Galov, qui a travaillé sur DarkSide pour le spécialiste russe de la cybersécurité Kaspersky, contacté par France 24. Mais, pour cet expert, ces beaux discours ne sont qu’une fine couche de vernis qui dissimule mal une machine parfaitement huilée pour extorquer le maximum d’argent à leurs victimes. La rançon exigée par DarkSide se situe, généralement, “entre 200 000 et deux millions de dollars”, souligne Jean-Baptiste Guglielmine. “En un an, ce groupe est devenu l’un des principaux acteurs dans la catégorie des ‘Big Game Hunters’ (littéralement, des 'chasseurs de gros gibier')”, explique-t-il. Un terme qui désigne les cybercriminels qui se concentrent sur les cibles potentiellement les plus lucratives et ne cherchent pas à attaquer le plus grand nombre possible de victimes en même temps.  Pour y arriver, DarkSide a mis en place une plateforme qui lui permet “d’agir un peu comme le Uber du 'rançongiciel'”, résume Gérôme Billois. Le groupe agit avant tout en intermédiaire : il met à disposition ses outils pour attaquer les victimes et fait appel à des “petites mains, appelées des affiliés, pour mettre en place le "rançongiciel"”, explique l’expert de Wavestone. Le recrutement de ces soldats du "rançongiciel" souligne d’ailleurs le niveau de professionnalisme de DarkSide. Ils sont sélectionnés après des entretiens d’embauche poussés qui, outre des questions sur les capacités de piratage du candidat, visent aussi à s’assurer qu’ils ne seront pas infiltrés par des agents des services de renseignement. Ainsi, “ils recherchent des personnes qui ne sont pas anglophones et posent des questions précises ayant trait à la culture, l’histoire ou la politique des pays d’Europe de l’Est et de Russie”, raconte Dmitry Galov. Ils se refusent, d’ailleurs, à attaquer des cibles en Russie. Un loupé Le groupe ne se contente pas de demander une rançon pour rétablir l’accès aux données volées. “Il appartient à cette catégorie d’acteurs qui pratiquent la double extorsion. C’est-à-dire qu’ils exfiltrent les données avant d’activer le 'rançongiciel', ce qui leur permet, ensuite, de faire chanter les victimes une deuxième fois en les menaçant de rendre publiques leurs données sensibles”, explique Jean-Baptiste Guglielmine. DarkSide se démarque aussi du commun des cyberrançonneurs “par le haut degré de renseignement humain effectué avant de déclencher l’attaque”, note l’expert de Cybereason. Ces criminels cherchent à glaner le maximum d’informations sur leurs cibles afin de comprendre à qui ils s’attaquent et quel montant ils peuvent demander. Ce profil de pirates informatiques très soigneux dans leur préparation cadre mal avec le mea culpa publié après l’attaque visant Colonial Pipeline. Difficile d’imaginer qu’ils n’avaient pas conscience des conséquences possibles d’une mise hors service du plus gros fournisseur de carburant de la côte Est des États-Unis. “On a l’impression d’assister à une entreprise qui est entrée en mode de communication de crise”, remarque Jean-Baptiste Guglielmine.  “Il y a clairement eu un loupé et ils essaient de prendre leur distance avec l’attaque”, analyse Gérôme Billois. “Les moyens que les États-Unis peuvent déployer pour traquer les auteurs d’une attaque contre des infrastructures critiques sont bien plus importants que ceux mis en œuvre pour lutter contre des maîtres chanteurs de riches entreprises”, précise ce spécialiste. Ce n’est, en outre, pas bon pour les affaires. “À court terme, des clients vont sans doute réfléchir à deux fois avant de se tourner vers un groupe qui a, potentiellement, le FBI a ses trousses”, assure Jean-Baptiste Guglielmine. Mais selon lui, ce n’est pas un péché mortel pour DarkSide. “Au pire, ils vont se dissoudre pour réapparaître sous un autre nom”.