Plus tôt cette semaine, KrebsOnSecurity révélé que le site darknet pour le Arracher Le groupe de ransomwares divulguait des données sur ses utilisateurs et les opérations internes du gang criminel. Aujourd’hui, nous allons examiner de plus près l’histoire de Snatch, son fondateur présumé, et ses affirmations selon lesquelles tout le monde l’a confondu avec un groupe de ransomwares différent et plus ancien du même nom.
Selon un avis conjoint du 20 septembre 2023 du FBI et le Administration américaine de la cybersécurité et de la sécurité des infrastructuresn (CISA), Snatch s’appelait à l’origine Équipe Trunigerbasé sur le surnom du fondateur et organisateur du groupe — Truniger.
Le rapport FBI/CISA indique que Truniger opérait auparavant en tant que filiale de GandCrabune des premières offres de ransomware-as-a-service qui a fermé ses portes après plusieurs années et prétend avoir extorqué plus de 2 milliards de dollars aux victimes. GandCrab s’est dissous en juillet 2019 et serait devenu «REvil», l’un des groupes de ransomwares russes les plus impitoyables et rapaces de tous les temps.
Le gouvernement affirme que Snatch a utilisé une variante de ransomware personnalisée, notamment pour le redémarrage. Microsoft Windows appareils en mode sans échec – permettant au ransomware de contourner la détection par antivirus ou protection des points finaux – puis cryptant les fichiers lorsque peu de services sont en cours d’exécution.
« Des acteurs de la menace Snatch ont été observés en train d’acheter des données précédemment volées à d’autres variantes de ransomware dans le but d’exploiter davantage les victimes et de payer une rançon pour éviter que leurs données ne soient publiées sur le blog d’extorsion de Snatch », lit-on dans l’alerte FBI/CISA. Il continue:
« Avant de déployer le ransomware, les acteurs de la menace Snatch ont été observés passant jusqu’à trois mois sur le système d’une victime. Au cours de cette période, les acteurs de la menace Snatch ont exploité le réseau de la victime en se déplaçant latéralement à travers le réseau de la victime avec RDP pour le plus grand déploiement possible de ransomware et en recherchant des fichiers et des dossiers pour l’exfiltration de données suivie d’un cryptage de fichiers.
Société de cyber-renseignement basée à New York Point d’éclair a déclaré que le groupe de ransomware Snatch a été créé en 2018, sur la base du recrutement de Truniger à la fois sur les forums de cybercriminalité en langue russe et sur les conseils de programmation publics russes. Flashpoint a déclaré que Truniger avait recruté des « testeurs d’écriture » pour un nouveau groupe de cybercriminalité, alors anonyme, en publiant ses coordonnées privées de messagerie instantanée Jabber sur plusieurs forums de codage en langue russe, ainsi que sur Facebook.
« La commande nécessite des administrateurs système Windows », expliquaient les publicités de Truniger. « Expérience en sauvegarde, augmentation des privilèges, mikicatz, réseau. Détails après contact sur jabber : truniger@xmpp[.]jp. »
Dans au moins certaines de ces annonces de recrutement – comme celle de 2018 sur le forum administrateurs système[.]ru –le nom d’utilisateur faisant la promotion des coordonnées de Truniger était Sperme7907. En avril 2020, Truniger a été banni de deux des principaux forums russes sur la cybercriminalité, où les membres des deux forums ont confirmé que Semen7907 était l’un des pseudonymes connus de Truniger.
[SIDE NOTE: Truniger was banned because he purchased credentials to a company from a network access broker on the dark web, and although he promised to share a certain percentage of whatever ransom amount Truniger’s group extracted from the victim, Truniger paid the access broker just a few hundred dollars off of a six-figure ransom].
Selon Constellation Intelligenceune plateforme de recherche sur les violations de données et les acteurs menaçants, un utilisateur nommé Semen7907 enregistré en 2017 sur le forum de programmation en langue russe Pawno[.]ru en utilisant l’adresse e-mail [email protected].
Cette même adresse e-mail a été attribuée à l’utilisateur « Semen-7907 » sur le site de jeux aujourd’hui disparu. tunnel.netqui a subi une violation de données en 2020. Semen-7907 enregistré chez Tunngle à partir de l’adresse Internet 31.192.175[.]63lequel est dedans Ekaterinbourg, RU.
Constella rapporte que [email protected] a également été utilisé pour créer un compte chez le harceleur de jeux en ligne[.]donc avec le surnom Cheval de Troie7907.
Il y a un Skype utilisateur par le handle semen7907, et qui porte le nom Semyon Tretiakov d’Ekaterinbourg, RU. Constella a également trouvé un enregistrement piraté du site de téléphonie mobile russe télé2[.]ru, ce qui montre qu’un utilisateur d’Ekaterinbourg s’est enregistré en 2019 sous le nom Semyon Sergueïvitch Tretiakov et adresse e-mail [email protected].
Les comptes ci-dessus, ainsi que l’adresse e-mail [email protected], ont tous été enregistrés ou consultés à partir de la même adresse Internet d’Ekaterinbourg mentionnée précédemment : 31.192.175.63. Le numéro de téléphone mobile russe associé à ce tele2[.]Le compte ru est connecté au compte Telegram « Perchatka», (« gant » en russe).
MAUVAIS BATTES
Contacté via Telegram, Perchatka (alias M. Tretiakov) a déclaré qu’il n’était pas un cybercriminel et qu’il travaillait actuellement à temps plein dans l’informatique dans une grande entreprise (il a refusé de préciser lequel).
Après avoir reçu les informations recueillies pour ce rapport (et d’autres qui ne sont pas publiées ici), M. Tretiakov a reconnu que Semen7907 était son compte sur les administrateurs système.[.]ru, le même compte que Truniger a utilisé pour recruter des pirates pour le groupe Snatch Ransomware en 2018.
Cependant, il affirme qu’il n’a jamais publié ces messages et que quelqu’un d’autre a dû prendre le contrôle de ses administrateurs système.[.]ru compte et posté comme lui. M. Tretiakov a déclaré que la sensibilisation de KrebsOnSecurity cette semaine était la première fois qu’il apprenait que ses administrateurs système[.]Le compte ru a été utilisé sans sa permission.
M. Tretiakov a suggéré que quelqu’un l’avait peut-être piégé, soulignant une histoire d’août 2023 dans un média russe au sujet du piratage et de la fuite de la base de données des utilisateurs par les administrateurs système[.]ru, prétendument aux mains d’un groupe de hackers pro-ukrainien appelé CyberSec.
« Récemment, à cause de la guerre en Ukraine, un grand nombre de bases de données ont été divulguées et trouver des informations sur une personne n’est pas difficile », a déclaré Tretiakov. « J’utilise cet identifiant depuis environ 2013 sur tous les forums sur lesquels je m’inscris, et je ne définis pas toujours un mot de passe fort. Si j’avais fait quelque chose d’illégal, je me serais bien mieux caché :D.”
[For the record, KrebsOnSecurity does not generally find this to be the case, as the ongoing Breadcrumbs series will attest.]
Semyon Sergeyvich Tretiakov est répertorié comme le compositeur d’une chanson de rap en russe intitulée «Parallèles», qui semble concerner la poursuite d’un mode de vie à haut risque en ligne. Un extrait de la chanson dit :
« Quelqu’un est à l’écran, quelqu’un est sur la liste noire
J’allume la minuterie et calcule les risques
Je ne veux pas rester fauché et à la recherche d’argent
Je ne peux pas accepter ces zéros. La vie est comme un zèbre –
tout le monde veut être le premier Soit les rayures sont blanches,
ou nous traversons la nature, je ne perdrai pas de temps.
M. Tretiakov a déclaré qu’il n’était pas l’auteur de cette comptine en particulier, mais qu’il était connu pour enregistrer ses propres rythmes.
« Parfois, je fais des bad beats », dit-il. » Nuage sonore. «
Peu importe le nom de domaine
Le Alerte FBI/CISA sur Snatch Ransomware (PDF) inclut une mise en garde intéressante : il indique que Snatch déploie en fait un ransomware sur les systèmes victimes, mais il reconnaît également que les occupants actuels des domaines Web sombres et clairs de Snatch s’appellent eux-mêmes Snatch Team et soutiennent qu’ils ne sont pas les mêmes personnes que Snatch Ransomware. à partir de 2018.
Voici l’extrait intéressant du rapport FBI/CISA :
« Depuis novembre 2021, un site d’extorsion opérant sous le nom de Snatch servait de centre d’échange pour les données exfiltrées ou volées aux entreprises victimes sur Clearnet et TOR hébergées par un service d’hébergement à toute épreuve. En août 2023, des individus prétendant être associés au blog ont donné une interview aux médias affirmant que le blog n’était pas associé au ransomware Snatch et qu’« aucune de nos cibles n’a été attaquée par Ransomware Snatch… », malgré les données confirmées de plusieurs victimes de Snatch apparaissant sur le site. blog aux côtés de victimes associées à d’autres groupes de ransomwares, notamment Nokoyawa et Conti.
Les lecteurs avides se souviendront ici d’une histoire plus tôt cette semaine à propos de Snatch Team. site Web darknet qui fuit basé à Ekaterinbourg, RU, qui a exposé ses opérations internes et les adresses Internet de ses visiteurs. Les données divulguées suggèrent que Snatch est l’un des nombreux groupes de ransomwares utilisant des publicités payantes sur Google.com pour inciter les gens à installer des logiciels malveillants déguisés en logiciels gratuits populaires, tels que Équipes Microsoft, Adobe Lecteur, Mozilla Thunderbirdet Discorde.
Snatch Team prétend s’occuper uniquement des données volées, et non du déploiement de logiciels malveillants ransomware pour prendre les systèmes en otage.
Des représentants de l’équipe Snatch ont récemment répondu aux questions de Databreaches.net sur la prétendue divergence dans le rapport FBI/CISA.
« Tout d’abord, nous répétons encore une fois que nous n’avons rien à voir avec Snatch Ransomware, nous sommes Security Notification Attachment, et nous n’avons jamais violé les termes des transactions conclues, car notre honnêteté et notre ouverture sont la garantie de nos revenus », l’équipe Snatch a écrit à Databreaches.net en réponse aux questions.
Mais jusqu’à présent, la Snatch Team n’a pas été en mesure d’expliquer pourquoi utilise-t-il les mêmes noms de domaine que ceux utilisés par le groupe de ransomware Snatch ?
Leur affirmation est d’autant plus incroyable que les membres de l’équipe Snatch ont déclaré à Databreaches.net qu’ils ne savaient même pas qu’un groupe de ransomwares portant ce nom existait déjà lors de leur création il y a à peine deux ans.
C’est difficile à avaler car même s’ils constituaient un groupe distinct, ils devraient quand même coordonner d’une manière ou d’une autre le transfert des domaines du groupe Ransomware sur les réseaux clairs et sombres. S’ils espéraient un nouveau départ ou une séparation, pourquoi ne pas simplement choisir un nouveau nom et une nouvelle destination Web ?
« Équipe d’arrachage[.]cc est essentiellement un marché de données », ont-ils poursuivi. « La seule chose à souligner est que nous sommes contre la vente des informations divulguées, nous en tenons à l’idée d’un accès gratuit. Absolument n’importe quelle équipe peut venir nous voir et proposer des informations à publier. De plus, nous avons entendu des rumeurs selon lesquelles un certain nombre d’équipes de ransomwares effraient leurs clients en les incitant à publier des informations divulguées sur notre ressource. Nous n’avons pas notre propre ransomware, mais nous sommes ouverts à la coopération sur le placement et la monétisation des dates (sic).
Peut-être que Snatch Team ne souhaite pas être associé à Snatch Ransomware parce qu’ils pensent actuellement que voler des données puis extorquer de l’argent aux entreprises victimes est en quelque sorte moins mauvais que d’infecter tous les serveurs et sauvegardes de la victime avec un ransomware.
Il est également probable que Snatch Team soit bien conscient de la façon dont certains de ses fondateurs ont mal couvert leurs traces en ligne et espère une refonte sur ce front.
