Maksim Silnikau : un sombre héritage de ransomwares et autres cybercrimes

Il est presque impossible de consulter les actualités et de passer à côté de l’extradition du cybercriminel « d’élite » « J.P. Morgan » vers les États-Unis. Il s’agit d’une énorme victoire pour les forces de l’ordre. Il n’est donc pas surprenant qu’elle soit si largement célébrée. Mais bien qu’il soit un « chef de file » de la cybercriminalité, de nombreuses personnes n’ont jamais entendu parler de cet homme. Qui est-il et pourquoi son arrestation est-elle si importante ? Comment va évoluer le paysage des menaces maintenant qu’il est inculpé ? C’est ce que nous allons voir. 

Les bases

J.P. Morgan est l’un des nombreux pseudonymes de Maksim Silnikau, également connu sous le nom de Maksym Silnikov. Maksim Silnikau est un ressortissant biélorusse-ukrainien actif dans le domaine de la cybercriminalité depuis au moins 2011. Il a passé du temps sur des forums clandestins, ce qui lui a permis d’apprendre d’autres acteurs malveillants et de développer ses compétences et son expérience en matière de logiciels malveillants. Sa souche de ransomware Reveton a été observée pour la première fois en 2011 et s’est révélée être une menace sérieuse en 2012. Reveton était cet agaçant virus du FBI/cheval de Troie de la police qui couvrait l’écran d’une fausse annonce des forces de l’ordre concernant un contenu illégal sur l’ordinateur. Les victimes étaient alors invitées à payer une « amende » pour déverrouiller leur ordinateur.

Reveton était considéré comme un ransomware sophistiqué en 2012. Il pouvait personnaliser les messages en fonction de la localisation de l’adresse IP, ce qui donnait l’impression que les messages provenaient des autorités de la région de la victime. Ce système n’était pas parfait, mais de nombreuses personnes ont payé l’amende. Reveton a diminué ses activités en 2014, mais son influence demeure. Nous y reviendrons un peu plus tard.

Maksim Silnikau n’a ni inventé le malvertising ni développé l’Angler Exploit Kit (AEK), mais en 2013, il utilisait les deux pour distribuer Reveton aussi largement que possible. Le malvertising utilise du code malveillant dans les publicités numériques pour infecter les appareils lorsqu’un utilisateur regarde une annonce ou clique dessus. Les activités de Maksim Silnikau ont accéléré la croissance du malvertising en tant que vecteur d’attaque, à tel point que les enquêteurs ont mesuré une augmentation de 325 % du malvertising au début de l’année 2014.

Le malvertising était la méthode d’attaque préférée de Maksim Silnikau, et l’Angler Exploit Kit était le moyen idéal pour déployer Reveton le plus largement possible tout en automatisant la chaîne d’infection. Des kits d’exploit comme AEK analysent les vulnérabilités des systèmes, puis déploient l’exploit approprié pour infecter le système de la victime. Tout comme le malvertising, l’utilisation de l’Angler Exploit Kit s’est rapidement développée lorsqu’il a été ajouté à l’arsenal de Maksim Silnikau.

AEK a été régulièrement mis à jour pour exploiter les dernières vulnérabilités logicielles, et les systèmes non corrigés ont fait d’AEK un outil efficace. Maksim Silnikau a infecté des millions de systèmes à l’aide de kits d’exploitation contenant son ransomware.  Au plus fort de son activité,Reveton encaissait environ 400 000 dollars par mois en rançons.

L’Angler Exploit Kit a progressivement disparu lorsque ses développeurs et opérateurs ont été arrêtés en 2016. Les opérations de malvertising de Maksim Silnikau se sont poursuivies tout au long de l’année 2022, bien après la disparition de Reveton et d’AEK. Ses activités malveillantes ont causé un préjudice financier important à de nombreux particuliers et entreprises. 

Maksim Silnikau a créé l’opération Ransom Cartel en 2021 en même temps que son opération de malvertising. Cette souche de ransomware a été liée au ransomware REvil en raison de similitudes dans le code source. Ransom Cartel a eu recours à une double extorsion en réclamant une rançon pour le déchiffrement et en promettant de ne pas divulguer les informations volées à la victime. Les pirates ont même menacé d’envoyer les données de la victime à des partenaires commerciaux, à des concurrents du secteur et à tous les organes d’information qui leur semblaient pertinents. Les victimes soucieuses de la réputation de leur entreprise étaient incitées à payer.

Maksim Silnikau a été arrêtée en Espagne le 18 juillet 2023, lors d’une « journée d’action coordonnée » menée et soutenue par les forces de l’ordre du Royaume-Uni, d’Ukraine, d’Espagne, du Portugal, d’Allemagne et de Pologne. L’opération s’est déroulée dans plusieurs pays et a eu des résultats positifs :

• 15 recherches ciblant plusieurs employés et membres du groupe

• Localisation et démantèlement de l’infrastructure de Ransom Cartel

• Interrogatoires des principaux suspects ciblés par la perquisition

• Saisie et examen de plus de 50 téraoctets de données relatives aux opérations du groupe et à ses membres

   

   

Cette journée d’action a conduit à l’extradition de Maksim Silnikau de la Pologne vers les États-Unis en août 2024. Lui et deux complices risquent des décennies de prison s’ils sont reconnus coupables de complot en vue de commettre une fraude informatique, une fraude électronique substantielle et d’autres chefs d’accusation. Le district du New Jersey et le district Est de Virginie ont porté des actes d’accusation.

Dix ans de dissimulation

L’enquête qui a conduit à la capture de Maksim Silnikau a débuté en 2015 dans le cadre d’une collaboration entre la National Crime Agency (NCA) du Royaume-Uni, les services secrets américains et le Federal Bureau of Investigation (FBI). Maksim Silnikau et ses associés ont réussi à ne pas se faire arrêter pendant près de dix ans en recourant à diverses techniques d’évasion :

• Plusieurs pseudonymes en ligne : outre J.P. Morgan, Maksim Silnikau est connu pour avoir utilisé « xxx » et « lansky » pour dissimuler son identité. Ce n’était pas aussi simple que de changer de pseudo sur un forum. Maksim Silnikau a utilisé plusieurs niveaux d’obscurcissement et a créé un réseau complexe d’identités, ce qui a empêché les enquêteurs de relier ses activités à une seule personne.

• Compartimentage des opérations : Maksim Silnikau a mis en place une sécurité opérationnelle extrême avec des communications chiffrées, des structures de commandement décentralisées et l’utilisation d’intermédiaires pour limiter la communication directe entre les acteurs importants. Le but était de limiter les dommages causés à son réseau si une partie de l’opération était compromise.

• Cryptomonnaie : Maksim Silnikau a utilisé le Bitcoin pour payer des rançons et a soumis ces paiements à de multiples services de mixage de cryptomonnaies afin de masquer l’origine des fonds. En résumé, il a été l’un des premiers à utiliser le blanchiment de cryptomonnaies.

• Réseaux proxys et réseaux privés virtuels (VPN) : l’infrastructure du réseau de Maksim Silkinau était répartie dans plusieurs pays, ce qui a posé des problèmes aux forces de l’ordre. Cette infrastructure dispersée a masqué sa localisation et son identité ainsi que celles de ses associés, ce qui leur a permis d’opérer dans de multiples juridictions. Il était difficile pour une seule agence d’appréhender Maksim Silkinau, surtout s’il menait des opérations dans des pays où la répression de la cybercriminalité était limitée.

La tactique de Maksim Silnikau a été efficace, et on ne sait pas grand-chose de son enfance et de ses nombreuses activités criminelles. Au cours des dix dernières années, les enquêteurs ont soupçonné son implication dans des chevaux de Troie bancaires, des malwares de point de vente et des chevaux de Troie d’accès à distance (RAT). À cela s’ajoutent les voleurs d’identifiants, les ransomwares et les kits d’exploitation qui sont liés à lui par des preuves scientifiques.

Reveton

Reveton n’a pas été le premier ransomware à toucher les ordinateurs, mais il a été l’un des premiers à préfigurer les attaques modernes. Il était considéré comme un malware avancé en raison de sa capacité à détecter la localisation et de l’utilisation de systèmes de paiement difficiles à tracer. Il a été régulièrement mis à jour avec de nouveaux correctifs et de nouvelles fonctionnalités, et a été intégré à de nombreux kits d’exploitation afin d’élargir la portée des attaques. Cela a entraîné une forte hausse du nombre d’infections à Reveton lorsqu’un nouvel exploit a été découvert.

Le ransomware Reveton est également connu sous le nom de « cheval de Troie de la police » et de « scareware », car il utilisait la menace des forces de l’ordre pour effrayer les victimes. Reveton n’a pas chiffré de fichiers ni volé de données. Son seul moyen d’extorsion consistait à verrouiller le système et à afficher un message exigeant une amende ou une rançon pour le déverrouiller. Aujourd’hui, la plupart des utilisateurs d’ordinateur se rendraient compte que cet écran ridicule est une fraude :

Si cette méthode a été aussi efficace en 2013, c’est parce qu’elle n’avait jamais été utilisée auparavant et que de nombreux utilisateurs d’ordinateurs et entreprises commençaient tout juste à avoir accès à Internet en permanence. Les forces de l’ordre ont analysé la menace et publié des alertes et des instructions d’atténuation. La prise de conscience autour de Reveton s’est accrue et l’équipe de Maksim Silnikau s’est rendu compte que toutes les victimes ne paieraient pas une rançon. Pour s’assurer de pouvoir monétiser une infection, Maksim Silnikau a ajouté un composant de vol de mot de passe qui fonctionnait en arrière-plan pendant l’affichage de l’écran d’accueil. Cette version de Reveton pouvait « voler les mots de passe d’une gamme complète de téléchargeurs de fichiers, d’applications de contrôle à distance, de clients FTP, de poker, de chat et de messagerie, ainsi que des mots de passe stockés par les navigateurs et dans des espaces de stockage protégés ». Cet article de Technet détaille la chaîne d’infection de Reveton et le composant de vol de mot de passe.

Ransomware-as-a-Service

Outre les écrans d’accueil d’extorsion semblant provenir du FBI, Reveton est connu pour avoir été la première opération Ransomware-as-a-Service (RaaS). Vous vous souvenez probablement que le RaaS est un modèle commercial permettant aux acteurs malveillants de s’abonner à des services de ransomware développés et gérés par des fournisseurs organisés. Le RaaS a rendu la cybercriminalité plus accessible en supprimant les obstacles liés à l’infrastructure et aux compétences. Les malwares, le phishing, le DDoS et les exploits sont tous disponibles dans les modèles « Crime-as-a-Service ». Ces services sont pris en charge par des Botnets à louer qui envoient des emails de phishing ou mènent des attaques DDoS. Ces ressources sont disponibles sous forme d’abonnements dans l’écosystème de la cybercriminalité, et elles sont toutes arrivées en même temps que le RaaS ou après lui.

Les affiliés de Reveton ont été recrutés via des forums criminels et d’autres canaux de communication clandestins. Les détails du système de paiement ne sont pas clairs, mais les affiliés recevaient une grande partie de la rançon. Le modèle commercial RaaS et le généreux partage des bénéfices ont permis à Maksim Silnikau de développer les activités de Reveton et d’ajouter une troisième méthode de monétisation au ransomware. 

Le modèle RaaS a décentralisé les opérations d’attaque par ransomware dans le monde entier. Il a compliqué la tâche aux forces de l’ordre, car de nombreux acteurs malveillants peuvent changer d’emplacement rapidement sans trop perturber leurs opérations. Les fournisseurs RaaS gèrent également les négociations et les transactions avec les victimes au nom de leurs abonnés/affiliés. Cela ajoute une couche de séparation entre l’acteur malveillant et la victime, et peut réduire l’exposition aux forces de l’ordre.

On trouve un excellent exemple de cet obscurcissement d’identité dans les suites de l’attaque Change Healthcare de 2024. ALPHV a revendiqué l’attaque et collecté la rançon. Le public a découvert « Notchy » et son rôle dans le vol de données après que le ransomware ALPHV a encaissé la totalité de la rançon et a fait faillite. Notchy s’en est plaint sur les forums, ce qui a attiré l’attention des enquêteurs et des journalistes spécialisés dans la sécurité sur ce conflit interne. Peu de temps après, des sources du renseignement humain (HUMINT) ont déterminé qu’il était « très probable » que Notchy soit associé à des groupes sponsorisés par la République populaire de Chine (RPC). ALPHV était un « groupe russophone » qui ne semblait avoir aucun lien avec un État-nation. Il n’y a pas de preuve substantielle reliant Notchy à la RPC, mais le public n’aurait probablement pas entendu parler de Notchy ou du lien possible avec la RPC si ALPHV n’avait pas disparu.

L’héritage de Maksim Silnikau

Maksim Silnikau n’a pas bâti son empire seul. Des partenaires commerciaux, des abonnés, des affiliés et des développeurs de malware ont contribué à ses activités. Certains ont été arrêtés il y a des années, et d’autres devraient l’être prochainement. Si les preuves viennent étayer les accusations, ces criminels devraient être emprisonnés pendant des décennies et, espérons-le, interdits d’utiliser à nouveau Internet. Mais dans quelle mesure cela modifie-t-il le paysage des menaces aujourd’hui ? Maksim Silnikau a été arrêté il y a plus d’un an. Ransom Cartel a été mis hors ligne et les services répressifs ont recueilli des preuves significatives qui devraient permettre d’engager d’autres poursuites. La capture d’un opérateur de RaaS et le démantèlement de ses opérations sont toujours une bonne nouvelle, mais qu’est-ce que cela signifie pour vous aujourd’hui ?

Le monde est infesté de « Crime-as-a-Service ». Les entreprises ont perdu des milliards de dollars à cause des ransomwares et des perturbations de leurs systèmes, et presque tous les habitants des États-Unis se sont fait voler leurs identifiants et leurs données sensibles à plusieurs reprises. 

L’infrastructure et les opérations criminelles de Maksim Silnikau ont directement contribué à la croissance de l’écosystème de la cybercriminalité. Il a été le pionnier du RaaS en tant que modèle commercial et a popularisé le malvertising comme surface d’attaque. Son succès avec AEK a démontré comment utiliser les exploits et les « téléchargements furtifs » pour amplifier et automatiser les attaques. Son succès a permis à de nouveaux acteurs malveillants de réussir. Certains d’entre eux sont désormais des cybercriminels expérimentés qui contrôlent des groupes de ransomwares actifs.

Maksim Silnikau a été l’un des premiers à comprendre que les mots de passe sont de l’argent, et l’ère Reveton a été marquée par certaines des violations de données les plus importantes de l’histoire liées à des identifiants :

• La sécurité de Target a été compromise en 2013 lorsque des pirates ont utilisé des identifiants volées à un fournisseur tiers qui avait un accès direct au réseau de Target. Cette attaque de la chaîne d’approvisionnement a exposé 40 millions de numéros de cartes de crédit et de débit, et les informations personnelles de 70 millions de clients de Target.

• La fuite de données qui a affecté Yahoo en 2014 résultait d’une attaque par hameçonnage ciblé. Cette attaque a permis aux pirates de se procurer un grand nombre d’identifiants de connexion au réseau visé. Le nombre de comptes compromis s’est élevé à 500 millions, et l’incident s’est produit juste après la fuite de données qui avait touché la totalité des trois milliards d’utilisateurs de Yahoo en 2013.

• En 2014, des acteurs malveillants ont utilisé les identifiants volés de trois employés pour accéder au réseau commercial d’eBay. Cette faille a compromis 145 millions de comptes, y compris des noms d’utilisateur, des mots de passe chiffrés, des adresses email et d’autres informations personnelles.

• La violation de données d’Anthem en 2015 a exposé les informations sensibles de près de 79 millions de personnes. Il a ensuite été établi qu’un employé avait répondu à une attaque par spear-phishing qui « incitait un employé à révéler à son insu un mot de passe ou à télécharger un logiciel malveillant ». Anthem a découvert la violation lorsqu’un administrateur système a remarqué que ses identifiants étaient utilisés par quelqu’un d’autre.

Depuis, le vol d’identifiants est devenu une activité souterraine à part entière, les acteurs malveillants se spécialisant dans différents types d’identifiants, comme les identifiants d’accès à distance ou l’accès à Microsoft 365. L’intelligence artificielle (IA) a permis aux acteurs malveillants d’accélérer le vol d’identifiants et leur a donné de nouveaux moyens de créer des attaques à grande échelle en combinant des noms d’utilisateur et des mots de passe provenant de plusieurs violations.

L’ajout de voleurs de mots de passe est l’un des premiers exemples de réaction d’un acteur malveillant face à l’amélioration des défenses et des mesures de sécurité. Il a également fait de Reveton l’un des premiers ransomwares à étendre la monétisation d’une seule attaque. C’est désormais la norme pour les groupes de cybercriminels.

Il convient également d’examiner l’impact de la sécurité opérationnelle de Maksim Silnikau. Il a employé des tactiques avancées pour échapper aux forces de l’ordre qui continuent de servir de modèles à d’autres acteurs malveillants. Des pirates qui n’ont rien à voir avec Maksim Silnikau continuent d’apprendre de sa carrière dans la cybercriminalité. Comme un méchant de bande dessinée, Maksim Silnikau a créé un monstre qui n’a pas besoin de son créateur pour mener à bien sa mission. 

Le RaaS, le malvertising et les autres attaques développées par Maksim Silnikau auraient probablement fini par être inventés par d’autres pirates s’il ne les avait pas mises au point. Je ne peux pas fournir un montant en dollars ou un arbre généalogique d’attaque démontrant son impact direct sur la cybercriminalité moderne, mais cela n’est de toute façon pas nécessaire. Il nous suffit d’examiner le paysage des menaces tel qu’il est aujourd’hui. Le monstre de Maksim Silnikau est partout. 

Protégez votre entreprise

Les attaques par ransomware n’ont pas cessé, et les cybercriminels utilisent de mieux en mieux l’IA pour accélérer et améliorer leurs attaques. Le site Web Stop Ransomware de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis peut vous aider à prévenir les attaques par ransomware. Vous devriez consulter ce site pour vous informer sur les communications d’urgence, les mauvaises pratiques et la réponse appropriée aux attaques par ransomware. Assurez-vous également de suivre les bonnes pratiques standard, telles que les backups régulières des données et le management des correctifs en temps opportun.

Barracuda offre une protection complète contre les ransomwares et propose l’une des plateformes de cybersécurité les plus complètes du marché. Consultez notre site web pour en savoir plus sur la façon dont nous protégeons les messageries électroniques, les réseaux, les applications et les données.