Vers une nouvelle utilisation du ransomware par des acteurs étatiques ?
Alors que le recours au chiffrement et à l’exfiltration de données est devenu monnaie courante dans la sphère cybercriminelle, un groupe affilié à l’État iranien s’intéresse à l’exploitation de ransomware pour mener à bien ses attaques. L’adoption du ransomware par des acteurs étatiques interroge quant à l’évolution du mode opératoire de ces attaquants et de leurs intentions.
Nouveau ransomware Pay2Key
Depuis novembre 2020, un opérateur de ransomware a déployé le ransomware Pay2Key sur des entreprises israéliennes. Comme la plupart des ransomware, Pay2Key chiffre et exfiltre les données de la victime et demande une rançon pour les récupérer. Le paiement de la rançon n’assure en rien l’accès pour les victimes à la clé de déchiffrement.
Une affiliation avec Fox Kitten?
Selon les entreprises de cybersécurité Clearsky et Checkpoint, Pay2Key serait affilié au mode opératoire avancé iranien présumé d’origine étatique Fox Kitten. En effet, les techniques utilisées pour déployer le ransomware présenteraient des similitudes avec les TTPs de Fox Kitten (exploitation de vulnérabilité Citrix et F5, installation de WebShell en local, utilisation de Ngrok et FRPC pour communiquer avec le C2…). Par ailleurs, des analystes en cybersécurité ont observé que les transactions de portefeuilles de paiement de rançon de Pay2Key conduiraient à des attaquants iraniens.
Téléchargez notre dernière analyse: “L’attribution cyber, un outil politique, commercial et éthique ?”
Des attaques suivant les intérêts stratégiques iraniens
Les intentions géopolitiques semblent également être corrélées avec celles des attaquants œuvrant pour l’État iranien. Tout d’abord, Pay2Key ne cible que des victimes israéliennes, principal rival de l’Iran. Le site de Pay2Key comprend à ce jour le nom de six victimes.Le nombre affiché de victimes n’est peut être pas le nombre réel et il pourrait y avoir d’autres victimes indirectes.
Autre point non négligeable, la communication de l’attaquant se veut en opposition directe avec Israël. Pay2Key n’hésite pas à se rendre visible sur la scène publique et utilise les réseaux sociaux Telegram et Twitter pour afficher sa posture contre son ennemi. La biographie de sa page Twitter affiche par exemple: “Winter is coming for Israel cyberspace!”, ce qui peut être vu comme une manière de faire de la propagande.
Bien que le compte Twitter de l’attaquant @PKeytwt ait été supprimé, les opérateurs derrière Pay2Key ont ré-ouvert un autre compte, actif depuis le 26 décembre 2020 (@p2ktwtacc). Il comporte à ce jour 151 followers. Depuis l’attaque de l’entreprise israélienne Habana Labs de décembre 2020, l’utilisation du drapeau israélien sur le site de Pay2Key peut aussi être vu comme un signe de provocation. Provocation qui se reflète aussi à travers le ton familier et parfois condescendant employé par l’attaquant, sous le pseudonyme de Ben, sur son site de leak pour parler à ses victimes et ses clients.
Il est donc fort probable que cette campagne d’attaque ait une dimension géopolitique et s’inscrive dans la spirale de confrontations entre Israël et l’Iran.
Un changement d’objectifs de l’Etat iranien?
Alors que les attaquants étatiques iraniens sont connus pour œuvrer à des fins d’espionnage ou de sabotage, l’utilisation du ransomware par un d’entre eux pourrait témoigner d’une évolution de logique. Désormais, le gain financier semble entrer dans la politique d’attaques iraniennes. Cette multiplication des objectifs nous amène à nous interroger sur l’utilisation par les États du ransomware et sur leurs intentions.
La menace ransomware a débuté par des campagnes indiscriminées menées par des cybercriminels qui tiraient profit des envois de phishing en masse pour se rémunérer. Elle s’est plus récemment transformée en véritable service monnayable, avec la création des ransomware-as-a-service fonctionnant grâce à un écosystème développé de cybercriminels et d’affiliés. L’opérateur de ransomware Darkside stocke d’ailleurs ses serveurs depuis l’Iran. Darkside agit en revanche pour son propre compte et ne présente aucun lien avec le gouvernement.
Aujourd’hui, la menace ransomware prend une forme nouvelle en arrivant entre les mains d’acteurs étatiques tels que Fox Kitten. Ceci est une première car, jusqu’à présent, l’affiliation de certains ransomware avec le gouvernement iranien n’avait jamais été prouvée. Il en va notamment du ransomware SamSam qui aurait été créé par deux iraniens, Mohammad Mehdi Shah Mansouri et Faramarz Shahi Savandi. Ces derniers, pourtant recherchés par le FBI et le CISA, n’ont jamais été rattachés au renseignement iranien.
Concernant la campagne menée par Pay2Key, il semble toutefois encore difficile de dire si l’aspect monétaire est la principale raison ayant motivé l’utilisation de ransomware. La campagne de Pay2Key ciblant essentiellement des entreprises israéliennes, on estime avec un niveau de confiance élevé qu’il s’agirait d’une opération visant à nuire à l’image, la réputation et à l’économie israélienne. Le profit financier apporté par la demande de rançon pourrait n’être qu’un bonus. Celui-ci est par ailleurs faible comparé à la moyenne, la rançon se situant entre sept et neuf Bitcoins. Dans certains cas, la rançon était même de trois Bitcoins ce qui confirme l’idée d’une opération de propagande ou de communication. L’hypothèse de l’adoption du ransomware par l’Iran dans l’optique de compenser les sanctions internationales imposées sur le pays, comme le fait la Corée du Nord, est peu probable. Plus qu’un changement d’intentions, le ransomware pourrait donc être un nouvel outil employé par l’Iran pour dissimuler sa motivation constante et réelle : celle de nuire à Israël.
L’appropriation du ransomware par l’Iran s’inscrit dans un mouvement plus global, la Chine ayant elle aussi récemment ajouté le ransomware à son arsenal. Le groupe APT27 présumé d’origine étatique chinois a lancé une campagne d’attaques ayant notamment touché cinq sociétés de jeux d’argent. Dans le futur, d’autres Etats pourraient eux aussi se lancer dans la course au ransomware. Plutôt que de mettre en place leur propre ransomware, ils pourraient également se tourner vers le marché du ransomware-as-a-service qui propose une offre clé en main et permet une utilisation du ransomware facile et à moindre coût.
