Des gangs russes de ransomware commencent à collaborer avec des pirates chinois

hacker

Il y a une activité inhabituelle qui se prépare sur les forums de cybercriminalité russophones, où les pirates semblent tendre la main à leurs homologues chinois pour une collaboration.

Ces tentatives d’enrôler des acteurs chinois de la menace sont principalement visibles sur le forum de piratage RAMP, qui encourage les acteurs parlant le mandarin à participer à des conversations, à partager des astuces et à collaborer sur des attaques.

Utilisateurs chinois dans les forums russes

Selon un nouveau rapport de Flashpoint, les utilisateurs de haut rang et les administrateurs RAMP tentent désormais activement de communiquer avec les nouveaux membres du forum en chinois traduit automatiquement.

Le forum aurait eu au moins trente nouveaux enregistrements d’utilisateurs qui semblent provenir de Chine, cela pourrait donc être le début de quelque chose de notable.

Les chercheurs suggèrent que la cause la plus probable est que les gangs russes de ransomware cherchent à nouer des alliances avec des acteurs chinois pour lancer des cyberattaques contre des cibles américaines, échanger des vulnérabilités ou même recruter de nouveaux talents pour leurs opérations Ransomware-as-a-Service (RaaS). .

Un analyste des menaces a déclaré à EZpublish-france.fr plus tôt ce mois-ci que cette initiative avait été lancée par un administrateur RAMP connu sous le nom de Kajit, qui prétend avoir récemment passé du temps en Chine et peut parler la langue.

Dans la version précédente de RAMP, il avait laissé entendre qu’il inviterait des acteurs chinois de la menace au forum, qui semble maintenant avoir lieu.

Cependant, les pirates informatiques russes qui tentent de collaborer avec des acteurs chinois de la menace ne se limitent pas au forum de piratage RAMP, car Flashpoint a également vu une collaboration similaire sur le forum de piratage XSS.

« Dans la capture d’écran ci-dessous, l’utilisateur XSS « hoffman » salue deux membres du forum qui se sont révélés chinois », explique le nouvelle recherche par Flashpoint.

« L’acteur de la menace leur demande s’ils pourraient fournir des informations sur les ransomwares et l’achat de divers types de vulnérabilités du système. La langue semble être du chinois traduit automatiquement. »

Publier sur le forum de piratage XSS
Publier sur le forum de piratage XSS
Source : point litigieux

Sur la base de l’historique des administrateurs RAMP, Flashpoint souligne qu’il est toujours possible qu’il s’agisse simplement d’un écran de fumée, sans qu’aucun utilisateur chinois réel n’ait rejoint RAMP.

Le mois dernier, un administrateur RAMP connu sous le nom d' »Orange » ou « boriselcin » et qui dirigeait le site « Groove », a publié un article appelant les acteurs malveillants à attaquer les États-Unis.

Après que les médias ont couvert ce message, y compris EZpublish-france.fr, l’acteur de Groove a affirmé que l’opération était fausse dès le début et avait été créée pour troller et manipuler les médias et les chercheurs en sécurité.

Les chercheurs en sécurité de McAfee et Intel 471 croient qu’il s’agit probablement simplement de l’acteur menaçant essayant de dissimuler le fait que la tentative de ransomware-as-a-service de l’acteur n’a pas fonctionné comme prévu.

Pour cette raison, les actions préalables de l’administrateur RAMP nous obligent à traiter tout ce qu’ils disent avec un certain scepticisme.

Cependant, l’opération de ransomware Conti a récemment été publiée sur le forum RAMP pour recruter des affiliés et acheter un accès initial aux réseaux. Dans une capture d’écran partagée avec EZpublish-france.fr, le gang dit qu’ils ne travaillent normalement qu’avec des pirates informatiques russophones, mais font une exception pour les acteurs de menace parlant chinois par respect pour l’administrateur RAMP.

« Cette annonce est en russe, car nous ne travaillons qu’avec des russophones. MAIS, par respect pour l’administrateur, nous ferons une exception pour les utilisateurs sino-locuteurs et traduirons même ce message en chinois (vous pouvez même le dupliquer en mandarin et Canotonese !) » – Opération de ransomware Conti.

Conti disposé à travailler avec des acteurs de la menace parlant chinois
Conti disposé à travailler avec des acteurs de la menace parlant chinois
Source : BleepingOrdinateur

En tant que tel, il semble que le forum RAMP invite activement les acteurs de la menace de langue chinoise à participer aux conversations et aux attaques.

RAMP toujours en croissance

Maintenant que RAMP est de nouveau en ligne, il semble croître régulièrement, malgré les vagues de DDOSing qu’il a subies peu de temps après son lancement.

RAMP a été créé l’été dernier par un membre clé du gang original de ransomware Babuk, dans le but de servir de nouveau lieu pour divulguer des données précieuses volées lors de cyberattaques et recruter des affiliés de ransomware.

Un cas notable d’une telle fuite s’est produit en septembre lorsqu’un administrateur RAMP a publié 498 908 identifiants VPN Fortinet pour accéder à 12 856 appareils sur divers réseaux d’entreprise.

Alors que bon nombre de ces informations d’identification étaient anciennes, les chercheurs en sécurité ont déclaré que bon nombre d’entre elles étaient toujours valides et ont permis au forum RAMP de se forger une réputation dans le domaine.

Flashpoint rapporte que RAMP a atteint sa troisième itération, utilisant un nouveau domaine .onion et obligeant tous les anciens utilisateurs à se réinscrire.

Cependant, ils n’exigent plus que les utilisateurs soient membres d’autres forums de piratage et semblent être plus ouverts aux anglophones.