1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Un examen plus approfondi du groupe de rançon Snatch Data

Un examen plus approfondi du groupe de rançon Snatch Data

Plus tôt cette semaine, KrebsOnSecurity révélé que le site Web du darknet pour le Arracher le groupe de ransomwares divulguait des données sur ses utilisateurs et les opérations internes du gang criminel. Aujourd'hui, nous allons examiner de plus près l'histoire de Snatch, son fondateur présumé, et leurs affirmations selon lesquelles tout le monde les a confondus avec un groupe de ransomwares différent et plus ancien du même nom.

Selon un avis conjoint du 20 septembre 2023 du FBI et le Administration américaine de la Cybersécurité et de la Sécurité des Infrastructuresn (CISA), Snatch a été initialement nommé Équipe Truniger, basé sur le surnom du fondateur et organisateur du groupe — Truniger.

Le rapport FBI/ CISA indique que Truniger opérait auparavant en tant qu'affilié de Crabe Gand, une première offre de ransomware en tant que service qui a fermé boutique après plusieurs années et prétend avoir extorqué plus de 2 milliards de dollars aux victimes. GandCrab s'est dissous en juillet 2019 et serait devenu “Insulte, "l'un des groupes de ransomwares russes les plus impitoyables et les plus rapaces de tous les temps.

Le gouvernement affirme que Snatch a utilisé une variante de ransomware personnalisée remarquable pour le redémarrage Système d'exploitation Microsoft Windows les appareils en mode sans échec, ce qui permet au ransomware de contourner la détection par un antivirus ou une protection des terminaux, puis de chiffrer les fichiers lorsque peu de services sont en cours d'exécution.

"Des acteurs de la menace Snatch ont été observés en train d'acheter des données précédemment volées à partir d'autres variantes de ransomware dans le but d'exploiter davantage les victimes pour payer une rançon afin d'éviter que leurs données ne soient publiées sur le blog d'extorsion de Snatch”, indique l'alerte FBI/CISA. Ça continue:

“Avant le déploiement du ransomware, les acteurs de la menace Snatch ont été observés passant jusqu'à trois mois sur le système d'une victime. Au cours de cette période, les acteurs de la menace Snatch ont exploité le réseau de la victime en se déplaçant latéralement sur le réseau de la victime avec RDP pour le plus grand déploiement possible de ransomware et en recherchant des fichiers et des dossiers pour l'exfiltration de données suivie du cryptage des fichiers.”

Société de cyber intelligence basée à New York Point d'éclair il a déclaré que le groupe Snatch ransomware avait été créé en 2018, sur la base du recrutement de Truniger à la fois sur des forums de cybercriminalité en russe et sur des tableaux de programmation publics russes. Flashpoint a déclaré que Truniger avait recruté des "testeurs de stylos" pour un nouveau groupe de cybercriminalité alors anonyme, en publiant leurs coordonnées privées de messagerie instantanée Jabber sur plusieurs forums de codage en russe, ainsi que sur Facebook.

“La commande nécessite des administrateurs système Windows”, a expliqué l'ads de Truniger. "Expérience en sauvegarde, augmentation des privilèges, mikicatz, réseau. Détails après contact sur jabber: truniger@xmpp[.] jp.”

Dans au moins certaines de ces annonces de recrutement — comme celle de 2018 sur le forum administrateurs système[.] ru –le nom d'utilisateur faisant la promotion des coordonnées de Truniger était Voyeur7907. En avril 2020, Truniger a été banni de deux des principaux forums russes sur la cybercriminalité, où les membres des deux forums ont confirmé que Semen7907 était l'un des alias connus de Truniger.

[NOTE LATÉRALE: Truniger a été banni parce qu'il a acheté des informations d'identification à une entreprise de un courtier d'accès au réseau sur le dark Web, et bien qu'il ait promis de partager un certain pourcentage du montant de la rançon que le groupe de Truniger a extrait de la victime, Truniger n'a payé au courtier d'accès que quelques centaines de dollars sur une rançon à six chiffres].

Selon Intelligence de Constelle, une plateforme de recherche sur les violations de données et les acteurs de la menace, un utilisateur nommé Semen7907 s'est inscrit en 2017 sur le forum de programmation en langue russe pion[.] ru utilisation de l'adresse e-mail tretyakov-files@yandex.ru.

Cette même adresse e-mail a été attribuée à l'utilisateur “Semen-7907” sur le site Web de jeu maintenant disparu tunngle.net, qui a subi une violation de données en 2020. Semen-7907 enregistré sur Tunngle à partir de l'adresse Internet 31.192.175[.]63, qui est dans Ekaterinbourg, Russie.

Constella rapporte que tretyakov-files@yandex.ru a également été utilisé pour créer un compte sur le jeu en ligne stalker[.] donc avec le surnom Cheval de Troie 7907.

Il y a une Skype utilisateur par le pseudo semen7907, et qui porte le nom Sémion Tretiakov d'Ekaterinbourg, en Russie. Constella a également trouvé un dossier piraté sur le site de téléphonie mobile russe télé2[.] ru, ce qui montre qu'un utilisateur d'Ekaterinbourg s'est enregistré en 2019 avec le nom Semyon Sergueïvitch Tretiakov et adresse e-mail tretyakov-files@ya.ru.

Les comptes ci-dessus, ainsi que l'adresse e-mail semen_7907@mail.ru, ont tous été enregistrés ou consultés à partir de la même adresse Internet d'Ekaterinbourg mentionnée précédemment: 31.192.175.63. Le numéro de téléphone mobile russe associé à ce tele2[.] le compte ru est connecté au compte Telegram “Perchatka, "("gant” en russe).

MAUVAIS BATTEMENTS

Joint par télégramme, Perchatka (alias M. Tretiakov) a déclaré qu'il n'était pas un cybercriminel et qu'il occupait actuellement un emploi à temps plein dans l'informatique dans une grande entreprise (il a refusé de préciser lequel).

Présenté avec les informations recueillies pour ce rapport (et d'autres qui ne sont pas publiées ici), M. Tretiakov a reconnu que Semen7907 était son compte sur les administrateurs système[.] ru, le même compte que Truniger utilisait pour recruter des pirates informatiques pour le groupe de rançongiciels Snatch en 2018.

Cependant, il affirme qu'il n'a jamais publié ces messages et que quelqu'un d'autre a dû prendre le contrôle de ses administrateurs système[.] compte ru et posté comme lui. M. Tretiakov a déclaré que la sensibilisation de KrebsOnSecurity cette semaine était la première fois qu'il prenait conscience que ses administrateurs système[.] le compte ru a été utilisé sans sa permission.

M. Tretiakov a suggéré que quelqu'un l'avait peut-être piégé, pointant du doigt une histoire d'août 2023 dans un média russe à propos du piratage et de la fuite signalés de la base de données des utilisateurs des administrateurs système[.] ru, prétendument aux mains d'un groupe de hackers pro-ukrainien appelé CyberSec.

"Récemment, à cause de la guerre en Ukraine, un grand nombre de bases de données ont été divulguées et il n'est pas difficile de trouver des informations sur une personne”, a déclaré Tretiakov. “J'utilise ce login depuis environ 2013 sur tous les forums où je m'inscris, et je ne mets pas toujours un mot de passe fort. Si j'avais fait quelque chose d'illégal, je me serais beaucoup mieux caché: D.”

[Pour mémoire, KrebsOnSecurity ne trouve généralement pas que ce soit le cas, car le processus en cours Série de chapelure attestera.]

Un Semyon Sergeyvich Tretiakov est répertorié comme le compositeur d'une chanson de rap en langue russe intitulée “Parallèles, "qui semble concerner la poursuite d'un mode de vie à haut risque en ligne. Un extrait de la chanson va:

"Quelqu'un est à l'écran, quelqu'un est sur la liste noire
J'allume la minuterie et calcule les risques
Je ne veux pas rester fauché Et à la poursuite de l'argent
Je ne supporte pas ces zéros La vie est comme un zèbre –
tout le monde veut être le premier Soit les rayures sont blanches,
ou nous nous déplaçons dans la nature, je ne perdrai pas de temps.”

M. Tretiakov a déclaré qu'il n'était pas l'auteur de cette comptine en particulier, mais qu'il était connu pour enregistrer ses propres rythmes.

"Parfois, je fais des bad beats”, a-t-il déclaré. "Soundcloud.”

PEU IMPORTE LE NOM DE DOMAINE

Les Alerte FBI/ CISA sur le ransomware Snatch (PDF) inclut une mise en garde intéressante: il indique que Snatch déploie réellement des ransomwares sur les systèmes des victimes, mais il reconnaît également que les occupants actuels des domaines Web sombres et clairs de Snatch s'appellent eux-mêmes Snatch Team et maintiennent qu'ils ne sont pas les mêmes personnes que Snatch Ransomware de 2018.

Voici la partie intéressante du rapport FBI/ CISA:

"Depuis novembre 2021, un site d'extorsion opérant sous le nom de Snatch servait de chambre de compensation pour les données exfiltrées ou volées aux entreprises victimes sur Clearnet et TOR hébergées par un service d'hébergement pare-balles. En août 2023, des personnes prétendant être associées au blog ont accordé une interview aux médias affirmant que le blog n'était pas associé au rançongiciel Snatch et “aucune de nos cibles n'a été attaquée par le rançongiciel Snatch...”, malgré plusieurs données confirmées sur les victimes de Snatch apparaissant sur le blog aux côtés des victimes associées à d'autres groupes de rançongiciels, notamment Nokoyawa et Conti.”

Les lecteurs avides se souviendront d'une histoire ici plus tôt cette semaine à propos de l'équipe de Snatch site web darknet qui fuit basé à Ekaterinbourg, en Russie, qui exposait leurs opérations internes et les adresses Internet de leurs visiteurs. Les données divulguées suggèrent que Snatch est l'un des nombreux groupes de ransomwares utilisant des publicités payantes sur Google.com pour inciter les gens à installer des logiciels malveillants déguisés en logiciels libres populaires, tels que Équipes MicrosoftLecteur AdobeMozilla Thunderbird, et Discorde.

Snatch Team prétend ne traiter que des données volées, et non déployer des logiciels malveillants ransomware pour prendre les systèmes en otage.

Des représentants de l'équipe Snatch ont récemment répondu aux questions de Databreaches.net à propos de la prétendue divergence dans le rapport FBI/ CISA.

“Tout d'abord, nous répétons une fois de plus que nous n'avons rien à voir avec Snatch Ransomware, nous sommes une pièce jointe de notification de sécurité et nous n'avons jamais violé les termes des transactions conclues, car notre honnêteté et notre ouverture sont la garantie de nos revenus", l'équipe Snatch a écrit à Databreaches.net en réponse aux questions.

Mais jusqu'à présent, l'équipe de Snatch n'a pas été en mesure d'expliquer pourquoi utilise-t-il les mêmes noms de domaine que le groupe Snatch ransomware utilisé?

Leur affirmation est encore plus incroyable parce que les membres de l'équipe Snatch ont dit Databreaches.net ils ne savaient même pas qu'un groupe de ransomwares portant ce nom existait déjà lorsqu'ils se sont initialement formés il y a à peine deux ans.

C'est difficile à avaler car même s'il s'agissait d'un groupe distinct, ils auraient encore besoin de coordonner d'une manière ou d'une autre le transfert des domaines du groupe de ransomwares sur les Web clairs et sombres. S'ils espéraient un nouveau départ ou une séparation, pourquoi ne pas simplement choisir un nouveau nom et une nouvelle destination Web?

"Équipe d'arrachage[.] cc est essentiellement un marché de données”, ont-ils poursuivi. “La seule chose à souligner est que nous sommes contre la vente d'informations divulguées, en nous en tenant à l'idée d'un accès gratuit. Absolument n'importe quelle équipe peut venir nous voir et proposer des informations pour publication. De plus, nous avons entendu des rumeurs selon lesquelles un certain nombre d'équipes de ransomwares font peur à leurs clients en leur disant qu'ils publieront des informations divulguées sur notre ressource. Nous n'avons pas notre propre ransomware, mais nous sommes ouverts à la coopération sur le placement et la monétisation des dates (sic).”

Peut-être que Snatch Team ne souhaite pas être associé au ransomware Snatch, car ils pensent actuellement que voler des données puis extorquer de l'argent aux entreprises victimes est en quelque sorte moins diabolique que d'infecter tous les serveurs et sauvegardes de la victime avec un ransomware.

Il est également probable que l'équipe de Snatch soit bien consciente de la difficulté avec laquelle certains de leurs fondateurs ont couvert leurs traces en ligne et espèrent une refonte sur ce front.



>>Plus