Le FBI a frappé fort contre Dispossessor, un gang de cybercriminels responsable de dizaines d’attaques par ransomware depuis 2023. Les agents fédéraux ont saisi les différents sites du groupe, accentuant la lutte contre les pirates spécialisés dans la double extorsion.
Le FBI vient d’annoncer une grande opération à l’encontre de Dispossessor, un gang de cybercriminels également connu sous le nom de Radar. Les agents fédéraux ont saisi les domaines et les serveurs du gang situés au Royaume-Uni et en Allemagne avec l’appui des forces de l’ordre locales.
Au total, le FBI a pris le contrôle de trois serveurs américains, trois serveurs au Royaume-Uni, 18 serveurs allemands, huit domaines aux États-Unis et un domaine basé en Allemagne. Désormais, les sites de Dispossessor affichent la traditionnelle bannière indiquant que « ce site Web a été saisi », flanqué du logo du FBI et des différents organismes d’application de la loi impliqués.
Au moins 43 cyberattaques depuis l’été 2023
Apparu en août 2023, le gang est responsable d’au moins 43 cyberattaques. Dispossessor s’est concentré sur les petites et moyennes entreprises situées dans des pays comme les États-Unis, la Belgique, le Canada ou encore l’Allemagne. Selon l’enquête menée par le FBI, les pirates ciblaient à la fois les « organisations des secteurs de la production, du développement, de l’éducation, des soins de santé, des services financiers et des transports ». À la tête du gang, on trouve un mystérieux pirate qui se fait appeler Brain.
Pour orchestrer leurs attaques, les cybercriminels s’appuyaient sur les négligences des entreprises. Le FBI indique que Dispossessor a par exemple exploité des vulnérabilités dans les systèmes informatiques. Il a aussi tiré profit des sociétés utilisant des mots de passe peu sécurisés, et donc faciles à deviner, ou qui ont négligé de configurer l’authentification à deux facteurs. Cet oubli est malheureusement à l’origine de nombreuses cyberattaques, comme le hack de centaines de clients Snowflake.
Une fois qu’ils sont parvenus à pénétrer dans le système, les pirates vont d’abord s’emparer des données de leurs cibles. Une fois que les données ont été exfiltrées, ils déploient leur ransomware sur le système. Celui-ci va chiffrer toutes les informations stockées par les sociétés sur l’ordinateur. Pour récupérer l’accès, les entreprises vont devoir verser une rançon. En parallèle, les hackers vont menacer de publier les données sur la toile ou de les effacer. Cette stratégie s’intitule la double extorsion. Pour négocier la rançon, Dispossessor « contacte de manière proactive des membres de l’entreprise victime, soit par e-mail, soit par téléphone ».
À ses débuts, le gang s’est contenté de remettre en ligne des données déjà divulguées par d’autres gangs phares, comme Lockbit, Cl0p, Hunters International et 8base. Par la suite, le groupe s’est servi d’une souche du malware Lockbit pour mener ses propres attaques.
Cette nouvelle opération fait suite à une série d’offensives à l’encontre des gangs spécialisés dans les ransomwares. Au cours des derniers mois, les forces de police ont en effet frappé à plusieurs reprises les professionnels de l’extorsion. Le FBI s’est notamment attaqué à Lockbit, le numéro un de l’extorsion, et aux hackers russes de BlackCat.
Par ailleurs, les enquêteurs ont démantelé les infrastructures de plusieurs logiciels malveillants massivement exploités par les cybercriminels qui orchestrent des attaques par ransomware. Des virus comme Cobalt Strike, IcedID, SystemBC, Pikabot, Smokeloader, ou Bumblebee, très prisés par les hackers en quête d’une rançon, ont été court-circuités. Ces opérations d’envergure devraient contribuer à faire baisser le nombre d’attaques par ransomware, en berne depuis le début de l’année.
Ransomware : le FBI neutralise un gang après 43 cyberattaques (01net.com)