La montée en puissance d’organisations cybercriminelles complexes comme Wizard Spider et LockBit sème la pagaille chez les entreprises du monde entier. Ces groupes sont organisés, professionnalisés, et recrutent activement de nouveaux membres. Mais que se passe-t-il lorsque les criminels s’en prennent les uns aux autres ? C'est la Saint-Valentin et nous vous proposons de revenir sur les relations les plus célèbres de hackers et les ruptures, parfois houleuses, qui s’en sont suivies.
Un gros minet devenu canari
Hector Monsegur, cofondateur de LulzSec, risquait une peine de 21 à 26 ans de prison pour piratage et autres délits. Au cours de l’enquête, il a avoué diverses attaques contre de grandes entreprises connues, notamment Sony, Fox Television, PBS et Nintendo. D’après des agents américains, ses cyberattaques auraient coûté des dizaines de millions de dollars à ses victimes.
Après son arrestation, Hector Monsegur s’est rapidement mis à table et a immédiatement accepté de coopérer avec le FBI.
Pendant plusieurs mois, il a ainsi été son informateur. D’après le New York Times, il aurait « mis en déroute presque 300 cyberattaques contre des cibles d’envergure et internationales ». Constatant que son jugement était sans cesse repoussé, ses anciens amis du milieu criminel ont fini par comprendre qu’il les avait trahis.
Surnommé « Titi » par ses anciens partenaires, Hector Monsegur aurait ainsi été harcelé et menacé, poussant le gouvernement à le placer en lieu sûr avec sa famille. Un t-shirt représentant le hacker sous les traits de Titi a circulé en ligne, et plusieurs hackers arrêtés grâce à sa coopération avec les autorités ont dénoncé sa trahison.
Le hacker a quitté le monde du crime et évité la prison, mais ça n’a pas été le cas de ses anciens amis. Il a en effet permis l’arrestation de 8 de ses co-conspirateurs, y compris Jeremy Hammond, condamné à 10 ans de prison.
« Anonymous », l’organisation cybercriminelle à laquelle appartenait Hector Monsegur, n’a guère apprécié la trahison : « Nous ne pardonnerons jamais et nous n’oublierons pas tant que chacun des Anon’ n’aura pas été libéré. »
Le maître de l’ingénierie sociale
« Une fois que vous avez gagné la confiance d’une personne, elle baisse sa garde. » Nous devons ces mots célèbres à Albert Gonzales, ancien hacker devenu informateur. Arrêté en 2003 dans une banque alors qu’il faisait un retrait à l’aide de cartes vierges programmées, Albert Gonzales est connu pour avoir trahi ses amis hackers en devenant informateur des services secrets des États-Unis, services qu’il a ensuite également trahis pour porter la double casquette d’informateur et de criminel.
Toujours d’après le New York Times, Albert Gonzales faisait partie au début des années 2000 de Shadowcrew, un groupe qualifié par un procureur fédéral de « mix entre eBay, Monster.com et MySpace dédié au cybercrime ». Comme les groupes de ransomwares actuels, Shadowcrew vendait des produits, notamment des numéros de cartes volées et des embosseurs de cartes, mais aussi ses services : par exemple des conseils pour envoyer des scams par email et des informations sur des entreprises vulnérables.
Comme Hector Monsegur, Albert Gonzales a trahi ses anciens partenaires au profit du confort apporté par le salaire d’informateur. Son travail s’inscrivait dans le cadre d’un programme dénommé « Operation Firewall » qui consistait à convaincre les utilisateurs de Shadowcrew à communiquer par le biais d’un VPN choisi par le gouvernement américain. Lors du point culminant de cette trahison, Albert Gonzales a réuni plusieurs utilisateurs de Shadowcrew dans un groupe de discussion, permettant ainsi leur arrestation par les agents des services secrets. Bilan de l’opération : 28 arrestations et 19 condamnations criminelles.
Mais si les services secrets pensaient que le hacker pouvait leur être loyal, ils se trompaient lourdement. En effet, en parallèle de son travail d’informateur, Albert Gonzales poursuivait ses activités criminelles. Avec ses partenaires criminels, il a ainsi contribué au piratage de plusieurs entreprises de premier plan, notamment BJs Wholesales Club, Barnes & Noble et Target.
Toutefois, Gonzales a fini par se faire prendre et à s’est fait arrêter. Lors de son audience, le juge l’a qualifié d’agent double. « Je suis coupable d’exploiter les réseaux informatiques, mais aussi les relations personnelles, en particulier celle que j’avais avec une agence gouvernementale qui croyait vraiment en moi », a confirmé Albert Gonzales.
Partners in crime
Hector Monsegur et Albert Gonzales appartenaient aux meilleurs groupes de leur époque, mais de nouveaux groupes tout aussi sophistiqués, voire plus, rôdent autour des entreprises du monde entier.
C’est par exemple le cas de Wizard Spider. Cette organisation est à l’origine du ransomware Conti et, plus récemment, de Ryuk, connu pour son attaque dévastatrice contre le système de santé irlandais (HSE). Potentiellement financé par le gouvernement russe, Wizard Spider mène des campagnes d’attaque contre des cibles de haut-profil appartenant à des secteurs stratégiques comme la santé et les services publics.
LockBit, un prestataire de ransomware-as-a-service (RaaS) anciennement appelé ABCD, a quant à lui adopté un fonctionnement très proche de celui d’une entreprise classique, en assurant la promotion de ses services sur le Dark Web et en proposant un programme d’affiliation offrant des avantages à ses membres.
LockBit fait partie d’un cartel piloté par le groupe Maze. Le fait d’inviter LockBit à rejoindre son cartel montre que Maze fait preuve d’une plus grande sophistication que les autres groupes de cybercriminels. Plutôt que de disparaître à cause de son concurrent, l’organisation a en effet choisi d’en faire un partenaire.
Ces partenariats paraissent malins et avantageux pour tous les hackers associés sur le long terme, mais il ne faut pas oublier que ces entreprises sont détenues et gérées par des criminels, et que leurs clients sont eux aussi des criminels. Vous l’aurez compris, l’idée que toutes ces personnes restent loyales les unes envers les autres est absolument ridicule.
Des relations toxiques à éviter
Les entreprises ne peuvent pas se permettre d’attendre que des groupes comme Wizard Spider et Lockbit soient démantelés par les forces de l’ordre ou que les hackers se trahissent les uns les autres. Dans de nombreux cas, même les groupes neutralisés finissent par se relancer, comme le montre l’exemple d’Emotet, qui a refait son apparition quelques mois après une opération internationale l’ayant fait tomber en 2021.
Pour combattre ces organisations, vous devez les comprendre. L’époque où des hackers à capuche envoyaient des vagues massives d’emails de phishing grossiers depuis leur garage est révolue.
Aujourd’hui, les groupes de cybercriminels disposent de structures similaires à celles des entreprises légitimes. Ils animent des groupes de partenaires affiliés qui achètent, utilisent et revendent leurs produits. Ils emploient des ingénieurs talentueux pour voler, espionner, extorquer, intimider ou procéder à de l’ingénierie inverse. Leurs investisseurs sont puissants. Ils visent des entreprises de toutes tailles et dans tous les secteurs.
Protéger votre entreprise de ces criminels et leurs ransomwares n’est pas une mince affaire, cela impose d’impliquer l’ensemble de l’entreprise, des dirigeants aux utilisateurs finaux de votre matériel et vos systèmes, en passant par le service informatique. Enfin, pensez comme l’ennemi : dos au mur, les cybercriminels n’ont qu’une chose en tête, survivre ! Il est temps pour les entreprises d’adopter la même attitude.
