L’annonce a été faite sur un forum de hackers, et le chercheur en cybersécurité “Damian” a tweeté la nouvelle le 1er juin dernier :
#GandCrab #Ransomware stops his evil job. pic.twitter.com/1HiOTHeqcw
— Damian (@Damian1338B) 1 juin 2019
Le ransomware GandCrab, qui est apparu pour la première fois en janvier 2018, fonctionnait selon un modèle RaaS (ransomware-as-a-service), c’est-à-dire que les créateurs de celui-ci ne sont pas les seuls à l’utiliser (s’ils l’utilisent eux-mêmes vraiment !). Au lieu de cela, ils laissent les autres lancer leurs propres campagnes et prélèvent au passage une petite partie des bénéfices.
Dans un message publié sur le forum de hackers, les individus se cachant derrière le ransomware GandCrab ont expliqué que leur vaste communauté de clients avait gagné encore beaucoup plus d’argent :
Car toutes les bonnes choses ont une fin. Durant cette année passée avec nous, les utilisateurs de nos services ont gagné plus de 2 milliards de dollars (environ 1,7 milliards d’euros).
Ils ont déclaré que la communauté avait gagné en moyenne 2,5 millions de dollars (soit à peu près 2,2 millions d’euros) par semaine, ajoutant qu’ils avaient, quant à eux, gagné plus de 150 millions de dollars (soit environ 133 millions d’euros) par an dans le cadre de leurs activités cybercriminelles.
Nous avons réussi à encaisser cet argent et à le blanchir par diverses méthodes, dans la vie réelle et sur Internet.
Le ransomware GandCrab est une ‘opération’ bien pensée. En effet, avec son logo, son interface web moderne, son URL sur le Dark Web plutôt vaniteuse et Dash, la cryptomonnaie peu courante qu’il a choisie pour les paiements, GandCrab se positionne comme un ransomware novateur et professionnel.
Le ransomware est populaire auprès des cybercriminels et largement utilisé. Il apparaît dans des attaques aussi diverses que des campagnes malveillantes de type “spray and pray” et des attaques de ransomware dévastatrices et ciblées.
Les attaquants derrière ce projet ont même fait preuve d’un certaine habileté en matière de communication quand ils ont décidé “d’aider” le peuple syrien assiégé en fournissant gratuitement les clés de déchiffrement des systèmes qu’ils avaient attaqué dans ce même pays.
Cependant, ils n’ont pas offert d’indemniser les victimes dans ce pays pour leurs pertes de revenus, ni de payer pour que des personnes effectuent le déchiffrement, et ce malgré les gains qu’ils disent avoir générés, et leur conscience ne les a pas empêchés non plus de lancer, au hasard, des attaques de ransomware avec GandCrab, sur d’autres cibles, y compris des hôpitaux, dans divers autres pays.
Leur conscience était visiblement absente également de leur post d’adieu. En effet, les créateurs de ce malware ont tiré leur révérence en se félicitant de leur “retraite bien méritée” et en se moquant des “white hats” et des services de police :
Nous avons prouvé qu’en commettant de mauvaises actions, le châtiment ne venait pas. Nous avons prouvé qu’en un an, vous pouviez gagner de l’argent pour tout le reste de votre vie.
Et juste au cas où vous auriez oublié que c’est juste une bande de gangsters qui extorquent de l’argent sous la menace, ils ont également envoyé un message aux victimes, et ce n’était pas pour s’excuser.
Chères victimes, si vous payez maintenant, vos données ne seront pas récupérées ultérieurement et les clés de déchiffrement seront supprimées.
En d’autres termes : payez immédiatement s’il vous plait !
Billet inspiré de GandCrab ransomware crooks to shut up shop, sur Sophos nakedsecurity.