Le monde de la cybercriminalité par ransomware est en ébullition depuis la récente attaque de Colonial Pipeline aux Etats-Unis. Depuis cette affaire, remontée jusqu’à la Maison Blanche, le groupe Darkside avoue avoir perdu le contrôle de plusieurs de ses serveurs le 13 mai dernier face aux autorités et décidé de mettre fin à son activité. Intel 471 a signalé que le service de blanchiment « garant d’anonymat » Bitmix.biz – utilisé par Revil, Avaddon et Darkside – avait subitement fermé boutique.
C’est dans ce contexte que le groupe Revil a décidé d’interdire les cyberattaques liées au secteur de la santé, de l’éducation, ainsi qu’aux administrations étatiques. Les opérateurs du groupe Avaddon ont également mis de nouvelles règles en place pour éviter les menaces sur le bien public (santé, éducation, organisations à but non lucratif). Toute cible potentielle doit désormais être validée au préalable.
Selon notre confrère du MagIT, deux autres opérateurs de rançongiciel se sont volatilisés dans la foulée de Darkside : le site vitrine d’Everest a disparu du réseau Tor à la fin de la semaine dernière tandis que celui d’Ako/Ranzy s’est mis à renvoyer vers Google.
Par ailleurs, trois forums russophones ont décidé de bannir les programmes de ransomware-as-a-service (RaaS), les considérant « toxiques ». En réponse, ils ont subi des attaques de déni de service distribué (DDoS) de potentiels « clients » mécontents.
Est-ce pour autant la fin des rançongiciels ? Que nenni ! La récente attaque du système de santé irlandais par le groupe Conti en témoigne. De plus, le groupe Babuk Locker vient d’annoncer le lancement d’une « immense plateforme de leaks », « sans loi ni maître ». Ce groupe est notamment l’auteur d’une fuite de données personnelles, la semaine passée, provenant du Metropolitan Police Department à Washington DC.