La Russie collabore peut-être avec les États-Unis pour mettre les cybercriminels au pas

Les cybercriminels basés en Russie qui, jusqu’à récemment, pouvaient compter de manière fiable sur leur gouvernement fermant les yeux sur leurs activités, commencent à s’inquiéter de la fin de leur temps dans l’ombre, selon l’analyse des forums cybercriminels souterrains menée par l’unité SpiderLabs de Trustwave.

Dans un rapport récemment publié, le vice-président de la recherche en sécurité de SpiderLabs, Ziv Mador, a déclaré qu’il avait observé de nouvelles communications sur un certain nombre de forums entre cybercriminels basés en Europe de l’Est à la suite d’un récent dialogue entre le président américain Joe Biden et le Russe Vladimir Poutine.

Sur la base de ces conversations, Mador estime avec un certain degré de confiance qu’un segment de cybercriminels craint que les autorités russes ne les traquent activement.

« Après que Biden a déclaré publiquement qu’il s’attendait à voir les résultats de ses conversations sur les ransomwares avec Poutine en juin, les fils de discussion du forum consacrés aux récentes arrestations ont presque immédiatement commencé à se concentrer sur les retraits potentiels et, plus tard, sur la possibilité que l’un des leurs coopère avec les forces de l’ordre », a déclaré Mador.

« Quelques mois auparavant, ces membres du forum plaisantaient sur le fait d’avoir été attrapés et arrêtés. Mais maintenant, ces mêmes membres du forum discutent de la façon de se préparer à la possibilité d’être capturés ou à des peines potentielles pour des crimes », a-t-il ajouté.

Un message sur le dark web, publié le 10 novembre sur le forum Exploit et traduit par SpiderLabs du russe original, se lit comme suit: « Tout est décidé en césin, dans les bureaux.

« Et qui et quel jeu joue réellement dans les coulisses … il est inutile de le deviner. Nous ne savons pas (tout).

« Incidemment, il y a les récentes négociations secrètes sur la cybercriminalité entre la Fédération de Russie et les États-Unis. »

Un autre message sur le même forum, deux jours plus tôt, se lit comme suit: « En politique, les individus deviennent souvent une monnaie d’échange … Il n’y a aucune garantie que l’article 272 du Code pénal de la Fédération de Russie ne sera jamais appliqué en raison des opérations criminelles à ceux qui travaillent aux États-Unis.

« Et oui, Poutine n’est pas éternel. Qui remplacera et quels seront les accords de politique étrangère, les relations et les accents internes dans la pratique de l’application de la loi, personne ne le sait.

Certains, cependant, refusent d’être intimidés. Une troisième affiche disait aux autres membres du forum de ne pas avoir peur et suggérait qu’aucun membre d’un gang de ransomware en Russie ne serait emprisonné – plus probablement, on leur demanderait d’être plus circonspects quant à la publicité de leurs attaques, ou de soudoyer les autorités pour qu’elles reculent avec une partie des bénéfices.

SpiderLabs a déclaré qu’il était clair que les acteurs de la menace sont parfaitement conscients de l’accent croissant mis par les autorités américaines sur la lutte contre la cybercriminalité cette année, qui a déjà entraîné le retrait du groupe de ransomware REvil, et la possibilité qu’un de ses membres, entré bêtement en Pologne, soit extradé pour faire face à des accusations aux États-Unis. quelque chose que peu auraient cru possible il y a seulement 12 mois.

Mador a déclaré que les cybercriminels d’Europe de l’Est, en particulier ceux basés en Russie, se sentent de plus en plus piégés, en particulier parce que la Russie, en l’absence d’un traité d’extradition avec les États-Unis, est l’un des très rares « refuges » pour eux.

« Au cours des derniers mois, nous avons constaté certains résultats des efforts de collaboration géopolitique. Maîtriser les ransomwares et traduire les cybercriminels en justice semble devenir une priorité mondiale. Et cela devrait effrayer les acteurs de la menace », a-t-il déclaré.

« Nous prévoyons que ces gangs organisés resteront probablement physiquement dans leur pays d’origine, car même s’ils ne sont pas aussi « sûrs » qu’ils l’étaient autrefois pour la cybercriminalité, les membres de cybergangs sont encore moins susceptibles d’être pris sur leur « territoire d’origine ». Beaucoup de ces cybercriminels veulent rester là où ils appartiennent, où résident leurs familles et leurs amis, et où la langue locale est familière, et où beaucoup de leurs contacts existent.

Mador a passé beaucoup de temps à explorer les forums du dark web, qu’il décrit comme une « fenêtre sur l’âme » de la communauté cybercriminel, et a déclaré qu’en surveillant régulièrement le dark web, les professionnels de la sécurité peuvent obtenir des informations précieuses sur les nouvelles tendances et des renseignements spécifiques sur les menaces, exploitant en fait les criminels bavards comme système d’alerte précoce.

Par exemple, parler d’informations d’identification à vendre, ou de noms de cadres éminents apparaissant dans des publications, peut parfois être un cadeau pour un professionnel de la sécurité connaissant le dark web que son organisation est ciblée ou est déjà attaquée.

« Cette alerte précoce donne aux professionnels de la sécurité le temps de renforcer leurs défenses et de mettre à jour leurs règles d’intervention, ce qui leur permet d’atténuer le risque de la menace utilisée contre leur organisation ou réagir plus rapidement si une attaque se produit », a déclaré Mador.

« S’ils voient une discussion sur une nouvelle technique d’ingénierie sociale ou un leurre de phishing, ils peuvent mettre à jour de manière proactive leurs paramètres de sécurité de messagerie et avertir les employés d’être à l’affût. »