Le groupe de cybercriminalité à l’origine du développement du logiciel malveillant de vol de mot de passe Racoon Stealer a suspendu ses opérations après avoir affirmé que l’un de ses développeurs était mort lors de l’invasion de l’Ukraine.
Racoon Stealer est un cheval de Troie voleur d’informations distribué sous le modèle MaaS (malware-as-a-service) pour 75 $/semaine ou 200 $/mois. Les acteurs de la menace qui souscrivent à l’opération auront accès à un panneau d’administration qui leur permet de personnaliser le logiciel malveillant, de récupérer les données volées (c’est-à-dire les journaux) et de créer de nouvelles versions de logiciels malveillants.
Le logiciel malveillant est très populaire parmi les acteurs de la menace car il peut voler une grande variété d’informations sur les appareils infectés, y compris les informations d’identification du navigateur stockées, les informations du navigateur, les portefeuilles de crypto-monnaie, les cartes de crédit, les données de messagerie et d’autres données de nombreuses applications.
Opération Racoon Stealer suspendue
Comme repéré pour la première fois par un chercheur en sécurité 3xp0rtles acteurs de la menace à l’origine du Racoon Stealer ont annoncé aujourd’hui sur des forums de piratage russophones qu’ils suspendaient leurs opérations après la mort de l’un de leurs principaux développeurs lors de l’invasion de l’Ukraine.
« Chers Clients, malheureusement, en raison de « l’opération spéciale », nous devrons fermer notre projet Racoon Stealer.
Les membres de notre équipe qui sont responsables des moments critiques dans le fonctionnement du produit ne sont plus avec nous.
Nous sommes déçus de fermer notre projet, un fonctionnement plus stable du voleur est physiquement impossible. »
Source : 3xp0rt
Cependant, il ne semble pas qu’ils seront partis pour toujours, car ils déclarent qu’ils prévoient de reconstruire les composants perdus et de relancer dans quelques mois.
Avec la fermeture de Racoon Stealer, 3xp0rt a déclaré à EZpublish-france.fr que les acteurs de la menace se dirigent maintenant vers l’opération Mars Stealer, qui offre un service similaire à Racoon.
Selon un article sur le forum de piratage XSS russophone, la « MarsTeam » a été submergée de demandes depuis que Racoon a annoncé sa fermeture, ce qui rend difficile de répondre à tout le monde.
3xp0rt dit que nous devrions nous attendre à une vague de campagnes Mars Stealer sous peu, alors que les acteurs de la menace se déplacent vers le service, qui fonctionne de la même manière que Racoon.
L’Ukraine a une communauté cybercriminelle active
L’invasion de l’Ukraine a eu un impact significatif sur la cybercriminalité et le piratage clandestin, de nombreux acteurs de la menace résidant dans le pays et prenant publiquement parti dans la guerre.
Un représentant de l’opération de rançongiciel Maze, aujourd’hui disparue, a récemment publié les clés principales de déchiffrement des anciennes victimes sur les forums de EZpublish-france.fr.
Lors d’une conversation avec le représentant de Maze qui a divulgué les clés, EZpublish-france.fr a également appris qu’il était ukrainien et a été arrêté par la police ukrainienne.
Les récentes « Conti Leaks » de chats internes, de code source et le doxing des membres du rançongiciel TrickBot et Conti ont été directement causés par les opérations criminelles prenant parti pour la Russie et bouleversant les acteurs ukrainiens de la menace et les chercheurs.
Les forces de l’ordre ont également été très actives au cours de l’année écoulée, arrêtant de nombreux auteurs de menaces. [1, 2, 3, 4, 5, 6] résidant en Ukraine.