• Catégories
    • Toutes les catégories
    • Planète Warez
      Présentations
      Aide & Commentaires
      Réglement & Annonces
      Tutoriels
    • IPTV
      Généraliste
      Box
      Applications
      VPN
    • Torrent & P2P
    • Direct Download et Streaming
    • Autour du Warez
    • High-tech : Support IT
      Windows, Linux, MacOS & autres OS
      Matériel & Hardware
      Logiciel & Software
      Smartphones & Tablettes
      Graphismes
      Codage : Sites Web, PHP/HTML/CSS, pages perso, prog.
      Tutoriels informatiques
    • Culture
      Actualités High-Tech
      Cinéma & Séries
      Sciences
      Musique
      Jeux Vidéo
    • Humour & Insolite
    • Discussions générales
    • Espace détente
    • Les cas désespérés
  • Récent
  • Populaire
  • Résolu
  • Non résolu
Réduire

Planète Warez
,
  • Politique
  • Règlement
  • À propos
  • Annonces
  • Faire un don
  • Feedback
  • Team
  • Tutoriels
  • Bug Report
  • Wiki
    • Light
    • Default
    • Ubuntu
    • Lightsaber
    • R2d2
    • Padawan
    • Dim
    • FlatDark
    • Invaders
    • Metallic
    • Millennium
    • Leia
    • Dark
    • DeathStar
    • Starfighter
    • X-Wing
    • Sith Order
    • Galactic
ko-fi

[Dossier] DarkSide : Le groupe criminel qui a paralysé l'Amérique

Planifier Épinglé Verrouillé Déplacé Discussions générales
darksidehacking
1 Messages 1 Publieurs 47 Vues
    • Du plus ancien au plus récent
    • Du plus récent au plus ancien
    • Les plus votés
Répondre
  • Répondre à l'aide d'un nouveau sujet
Se connecter pour répondre
Ce sujet a été supprimé. Seuls les utilisateurs avec les droits d'administration peuvent le voir.
  • Violenceundefined Hors-ligne
    Violenceundefined Hors-ligne
    Violence Admin
    écrit dernière édition par Violence
    #1

    Un chiffre d’affaires de 90 millions de dollars, et un service client qui répond au téléphone. Non, je ne vous parle pas de la dernière scale-up parisienne mais de DarkSide, le groupe criminel qui a réussi à transformer le ransomware en service premium.

    En mai 2021, ce groupe de cybercriminels ont réussi un exploit que même les scénaristes d’Hollywood n’auraient pas osé imaginer : paralyser l’approvisionnement en carburant de toute la côte Est américaine avec quelques lignes de code.


    – Marqueur du réseau Colonial Pipeline - la cible qui a changé l’histoire du ransomware moderne

    Mais DarkSide, c’est bien plus qu’une simple bande de hackers chanceux. C’est la première organisation criminelle à avoir vraiment compris comment industrialiser la cybercriminalité en s’inspirant des meilleures pratiques du monde de la tech. Franchise, support client, R&D, politique RSE… tout y est. Enfin, sauf les bonnes intentions.

    Nous sommes en aout 2020 et pendant que vous découvriez les joies du télétravail, des criminels expérimentés (probablement d’anciens affiliés du groupe REvil) lançaient discrètement DarkSide. Et contrairement aux groupes de ransomware traditionnels qui font du bruit pour intimider tout le monde, eux ont tout de suite opté pour le style “startup disruptive”.

    Leur première innovation c’est le modèle RaaS (Ransomware-as-a-Service) poussé à l’extrême. Un Netflix du chantage numérique si vous préférez pour lequel DarkSide développe la technologie, forme les “affiliés”, et prend sa commission sur chaque attaque réussie. 25% pour les rançons inférieures à 500 000 dollars, 10% au-delà de 5 millions. Pas mal comme business model, surtout quand on sait qu’ils ont engrangé plus de 90 millions de dollars en moins d’un an.

    D’après les analyses d’Elliptic et Chainalysis, leur système de paiement était d’une sophistication folle où chaque affilié recevait un wallet Bitcoin unique, avec des instructions précises pour le mélange et le blanchiment des fonds. Ils utilisaient même des “tumblers” (mixeurs de cryptomonnaie) et des échanges décentralisés pour brouiller les pistes. Un vrai cours de finance criminelle appliquée !

    Ce qui les démarque des autres c’est surtout leur professionnalisme car ils organisaient des entretiens de recrutement pour sélectionner leurs affiliés et d’après les témoignages récoltés sur les forums underground, il fallait prouver ses compétences techniques, montrer des références d’attaques précédentes, et même signer un “contrat” stipulant les règles d’engagement. Ils avaient même une politique de “responsabilité sociale” avec dedans, interdiction de s’attaquer aux hôpitaux, aux écoles, ou encore aux organisations caritatives. On s’achète une conscience comme on peut…


    – Bitcoin - la crypto-monnaie de prédilection de DarkSide, blanchie grâce à des techniques dignes d’un thriller financier

    Mais le plus fou, c’est qu’en octobre 2020, ils ont fait un don de 20 000 dollars à des œuvres caritatives, avec l’argent de leurs victimes, évidemment. Children International et The Water Project ont reçu chacun 10 000 dollars en Bitcoin. Les associations ont évidemment refusé cet argent sale, mais le geste était là. C’est à ce moment-là que j’ai compris qu’on avait affaire à des types qui avaient vraiment pensé leur truc différemment. Ils voulaient se donner une image de “gentleman cambrioleurs” du 21e siècle.

    Techniquement parlant, DarkSide c’était du haut niveau. Ils maîtrisaient 34 techniques d’attaque référencées dans le framework MITRE ATT&CK, ce qui en fait l’un des groupes les plus complets jamais observés. D’après l’excellent rapport de Picus Security “Illuminating DarkSide”, leur couverture du framework MITRE était impressionnante : Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, et j’en passe. Ces références barbares signifient qu’ils avaient une boîte à outils capable de contourner pratiquement toutes les défenses modernes.

    Leur arsenal aussi était impressionnant : Cobalt Strike pour le command & control (avec des beacons personnalisés pour éviter la détection), Mimikatz pour récupérer les mots de passe (version modifiée pour contourner Windows Defender), ADRecon pour cartographier l’Active Directory. Mais ce qui les différenciait vraiment, c’est leur approche “Living off the Land”. En effet, ils utilisaient principalement des outils légitimes détournés de leur usage, ce qui les rendait presque invisibles aux antivirus classiques.

    Côté infrastructure, ils avaient aussi tout prévu. Serveurs de commande cachés derrière TOR, paiements en cryptomonnaies avec des techniques de blanchiment sophistiquées, et même un site web dédié pour publier les données volées… leur fameux “DarkSide Leaks”. L’interface était soignée, mieux fichue que certains sites d’e-commerce que je ne citerai pas et ils avaient même un système de recherche intégré pour que les journalistes puissent facilement trouver les données compromettantes !

    Mais leur véritable innovation, c’était la double extorsion. Ils ne se contentaient pas de chiffrer vos données, ils les volaient avant pour vous faire chanter deux fois : “Payez pour récupérer vos fichiers ET pour qu’on ne les publie pas”. Diablement efficace. Les victimes se retrouvaient alors face à un dilemme impossible : payer ou voir leurs secrets étalés sur la place publique. Et DarkSide avait même prévu un système d’enchères pour vendre les données au plus offrant si la victime refusait de payer !

    Et puis il y a eu Colonial Pipeline. L’attaque qui a tout changé. Un vendredi soir de mai 2021, DarkSide a réussi ce que même les terroristes n’avaient jamais osé rêver, c’est à dire couper l’approvisionnement en carburant de 45% de la côte Est américaine.

    Le vecteur d’attaque ? Un compte VPN compromis d’un ancien employé qui n’avait même pas l’authentification multi-facteurs activée. D’après les sources proches de l’enquête, le mot de passe utilisé pour ce VPN aurait été trouvé dans une base de données de mots de passe leakés sur le dark web. C’est dingue comme les plus grosses catastrophes partent souvent de détails insignifiants. Et oui, votre informaticien qui vous bassine avec les mises à jour de sécurité, a peut-être raison finalement ^^.

    Bref, en 2 heures chrono, ils ont volé 100 gigaoctets de données sensibles avant de déployer leur ransomware sur les systèmes informatiques de Colonial Pipeline. Pour y arriver, ils ont cartographié tout le réseau pendant plusieurs semaines, identifiant les systèmes critiques et les sauvegardes. Ainsi, quand ils ont frappé, c’était chirurgical. Ils ont évité d’attaquer les systèmes de contrôle industriel mais même comme ça Colonial Pipeline a préféré couper la production par précaution. Du coup, pénurie d’essence, prix qui s’envolent, et queues interminables aux stations-service.

    J’ai encore en tête les images de ces Américains qui stockaient de l’essence dans des bouteilles en plastique dans leur coffre. Darwin award en perspective, mais surtout la preuve que quelques hackers russes avaient réussi à semer une sacrée panique dans le pays le plus puissant du monde. La Gouverneure de Caroline du Nord a même dû déclarer l’état d’urgence, et l’administration Biden a temporairement levé les restrictions sur le transport routier de carburant.

    La négociation qui a suivi était surréaliste. DarkSide avait mis en place un véritable service client avec numéro de téléphone et chat en ligne pour faciliter les discussions. D’après les témoignages, ils avaient même des “account managers” dédiés qui parlaient un anglais parfait et connaissaient le dossier sur le bout des doigts. Joseph Blount, le PDG de Colonial Pipeline, a fini par craquer et payer la rançon de 75 bitcoins, soit 4,4 millions de dollars à l’époque. “C’était la bonne chose à faire pour le pays”, a-t-il déclaré plus tard. Je peux comprendre sa position, même si ça fait mal de voir céder à des criminels.

    Le détail croustillant c’est que DarkSide a fourni un outil de déchiffrement… qui était tellement lent que Colonial a préféré restaurer depuis ses sauvegardes. Il fallait 8 heures pour déchiffrer un serveur ! Certains pensent que c’était volontaire, pour pousser les futures victimes à payer une “option premium” pour un déchiffrement plus rapide.

    Évidemment, paralyser l’économie américaine, ça ne passe pas inaperçu. Le FBI s’est retrouvé avec la pression politique maximale pour retrouver ces types. Et contrairement à ce qu’on pourrait croire, ils ont été drôlement efficaces…

    L’analyse de la blockchain Bitcoin leur a permis de remonter la piste et le 7 juin 2021, ils ont réussi à saisir 63,7 bitcoins sur le portefeuille de DarkSide, soit 2,3 millions de dollars. Pas la totalité, mais c’était déjà un beau message : “On peut vous suivre, y compris vos cryptomonnaies anonymes.” Comment ont-ils fait ? Le FBI reste mystérieux, mais des sources suggèrent qu’ils auraient eu accès à la clé privée d’un serveur loué en Californie par les hackers. Une sacrée erreur de débutant pour des pros du crime !

    Les méthodes d’investigation étaient fascinantes car les enquêteurs ont combiné l’analyse blockchain (avec l’aide de Chainalysis et CipherTrace), l’infiltration de serveurs, et même la géolocalisation de certains serveurs de commande. DarkSide utilisait des techniques sophistiquées pour masquer leurs traces, mais face aux ressources du FBI et de la NSA, même les meilleurs finissent par laisser des indices. Un détail amusant : ils ont identifié certains membres grâce à leurs habitudes de connexion… toujours aux mêmes heures moscovites !

    La pression diplomatique sur la Russie s’est aussi intensifiée. Même si Moscou nie toute implication, impossible de faire semblant que ces groupes opèrent depuis leur territoire par hasard. Les États-Unis ont alors mis des récompenses de 10 millions de dollars sur la tête des leaders de DarkSide, et 5 millions pour toute information menant à une arrestation. Le programme “Rewards for Justice” du Département d’État accepte même les informations en crypto-monnaies via TOR… Bref, ils ont compris qu’il fallait parler le langage des criminels pour les attraper.

    Face à cette pression, DarkSide a officiellement annoncé l’arrêt de ses activités le 14 mai 2021. Communiqué de presse officiel sur leur blog en .onion, excuses aux victimes, tout le tralala. Ils ont même prétendu que leurs serveurs avaient été saisis et leurs comptes crypto vidés. Mais dans ce milieu, une “fermeture” c’est souvent juste un changement de nom.

    Et effectivement, en juillet 2021, BlackMatter faisait son apparition. Même interface, mêmes techniques, mêmes méthodes de chiffrement. Les experts en sécurité ont alors vite fait le rapprochement : BlackMatter n’était probablement qu’un rebranding de DarkSide, avec quelques améliorations techniques. Recorded Future a même identifié que le code de BlackMatter réutilisait des portions uniques du ransomware DarkSide, notamment l’algorithme de génération de clés.

    L’analyse des échantillons de malware a confirmé les soupçons. BlackMatter utilisait les mêmes méthodes de chiffrement uniques que DarkSide (combinaison RSA-1024 et Salsa20), avec des signatures techniques quasi identiques. C’est comme si vous changiez le nom de votre startup mais gardiez le même code source. Ils ont même conservé la même structure de configuration JSON et les mêmes mutex Windows !

    BlackMatter a même revendiqué s’inspirer “du meilleur de DarkSide et REvil”. Marketing criminel assumé même s’ils ont poussé l’innovation plus loin en développant des versions Linux de leur ransomware, ciblant spécifiquement les serveurs VMware ESXi. Parce que finalement, pourquoi se limiter à Windows quand on peut faire du multiplateforme ? Leur nouvelle version pouvait même chiffrer jusqu’à 1,5 TB de données par heure sur des systèmes ESXi, une performance technique impressionnante, même si on préférerait qu’elle soit utilisée à bon escient.

    BlackMatter a aussi introduit une nouveauté : l’exclusion explicite du secteur pétrolier et gazier de leurs cibles. Visiblement, l’attention du FBI après Colonial Pipeline leur avait servi de leçon. Mais ça ne les a pas empêchés de s’attaquer à d’autres infrastructures critiques, comme NEW Cooperative (une coopérative agricole) en septembre 2021, menaçant l’approvisionnement alimentaire de millions d’Américains.

    L’aventure BlackMatter s’est ensuite arrêtée en novembre 2021, officiellement pour les mêmes raisons que DarkSide. Mais le mal était fait : le modèle était créé, les techniques documentées, les méthodes éprouvées. Et quelque part sur les forums russophones, d’anciens membres continuent probablement sous d’autres bannières.

    Aujourd’hui, en 2025, l’influence de DarkSide se ressent encore dans tout l’écosystème du ransomware. Leur approche “RaaS premium” a inspiré des dizaines de groupes. RansomHub, Akira, Meow…etc., tous reprennent peu ou prou leurs méthodes. Le modèle d’affiliation avec commission dégressive est devenu le standard et la double extorsion est devenue de la triple extorsion (chiffrement + vol + DDoS).

    Paradoxalement, le succès de DarkSide et de ses dérivés a aussi contribué à l’amélioration des défenses. La baisse de 35% des paiements de rançons observée en 2025 s’explique en partie par les contre-mesures développées après Colonial Pipeline. Les entreprises ont enfin compris qu’investir dans la cybersécurité coûtait moins cher que de payer des criminels.

    Le FBI a d’ailleurs fourni plus de 5 400 clés de déchiffrement aux victimes depuis 2022, permettant d’éviter plus de 800 millions de dollars de paiements. Leur programme “No More Ransom” en partenariat avec Europol compte maintenant 188 outils de déchiffrement gratuits et les arrestations se multiplient aussi : pas plus tard qu’en juin 2025, 2 suspects liés aux opérations DarkSide ont été arrêtés aux États-Unis. L’un d’eux, un ressortissant russe de 29 ans, était recherché depuis 2021 et s’était caché en Géorgie.

    Les assureurs cyber ont aussi appris leur leçon. Axa, Zurich, et d’autres ont arrêté de couvrir les paiements de rançons dans certains pays. Résultat, les criminels doivent s’adapter, cibler différemment, innover constamment. C’est un jeu du chat et de la souris permanent, où chaque camp affine ses techniques.

    Ce qui me frappe le plus dans cette histoire, c’est la rapidité avec laquelle des criminels ont réussi à créer une organisation plus efficace que beaucoup d’entreprises légitimes. Processus de recrutement, formation, support client, politique de responsabilité sociale… ils avaient tout. Sauf les bonnes intentions. Leur “employee handbook” leaked en 2021 faisait 30 pages et détaillait tout, des horaires de travail aux bonus de performance ! C’est assez unique car nous avons à faire là à des groupes qui ont des ressources, des compétences, et une vision stratégique. Ils recrutent des développeurs à 300 000 dollars par an sur des forums underground, offrent des plans de retraite (si si !), et investissent massivement en R&D. La séparation entre développeurs et affiliés, le système de commissions, l’infrastructure de support… tout était pensé pour maximiser l’efficacité et minimiser les risques.

    Leur modèle économique était tellement bien fichu que des chercheurs de Harvard Business School l’ont étudié.

    Enfin, nos infrastructures critiques restent vulnérables. Colonial Pipeline n’était pas une PME avec un IT de fortune, mais une entreprise clé de l’énergie américaine. Si eux peuvent tomber, personne n’est à l’abri. D’ailleurs, une étude de 2024 a montré que 67% des infrastructures critiques américaines n’avaient toujours pas d’authentification multi-facteurs sur leurs accès VPN. Visiblement, ces entreprises n’apprennent pas bien de leurs erreurs.

    Mais la bonne nouvelle, c’est que les forces de l’ordre s’adaptent. Le Joint Ransomware Task Force créé en 2021 a maintenant des antennes dans 30 pays. Les plateformes crypto commencent à collaborer, gelant les fonds suspects plus rapidement mais, vous vous en doutez, la course continue.

    DarkSide a peut-être disparu, mais leur héritage perdure. D’autres groupes reprennent leurs méthodes, les améliorent, les adaptent. Par exemple, LockBit 4.0 vient de sortir avec des fonctionnalités qu’on n’aurait jamais imaginées : ransomware-as-a-API, paiement en NFTs, et même un programme de bug bounty pour améliorer leur malware !

    Bref, c’est pas fini…

    – Source :

    https://korben.info/darkside-groupe-criminel-ransomware-histoire.html

    V:\> █░░ PR4IS3 TH3 C0D3 ░░█ ✌(◕‿-)✌
    ╚═ Admin, Dev et auteur de la plupart des bugs de PW…

    ░░░▒▒▒▓▒▒▒░░░
    ░░░░░░▓░░░░░░
    ▒▒▒▒▓▓▓▓▓▒▒▒▒
    ░░░░░░▓░░░░░░

    1 réponse Dernière réponse
    :amen:
    2






©2025 planete-warez.net
L'actualité Warez & underground en continu
Icône café Faire un don
Politique   RGPD  @dev  Sudonix
    • Se connecter
    • Vous n'avez pas de compte ? S'inscrire
    • Connectez-vous ou inscrivez-vous pour faire une recherche.
    • Premier message
      Dernier message
    0
    • Catégories
      • Toutes les catégories
      • Planète Warez
        Présentations
        Aide & Commentaires
        Réglement & Annonces
        Tutoriels
      • IPTV
        Généraliste
        Box
        Applications
        VPN
      • Torrent & P2P
      • Direct Download et Streaming
      • Autour du Warez
      • High-tech : Support IT
        Windows, Linux, MacOS & autres OS
        Matériel & Hardware
        Logiciel & Software
        Smartphones & Tablettes
        Graphismes
        Codage : Sites Web, PHP/HTML/CSS, pages perso, prog.
        Tutoriels informatiques
      • Culture
        Actualités High-Tech
        Cinéma & Séries
        Sciences
        Musique
        Jeux Vidéo
      • Humour & Insolite
      • Discussions générales
      • Espace détente
      • Les cas désespérés
    • Récent
    • Populaire
    • Résolu
    • Non résolu