Des chercheurs en cybersécurité ont mis en lumière le fonctionnement interne de l’opération de ransomware dirigée par Mikhaïl Pavlovich Matveev, un ressortissant russe inculpé par le gouvernement américain plus tôt cette année pour son rôle présumé dans le lancement de milliers d’attaques à travers le monde.
Matveev, qui réside à Saint-Pétersbourg et est connu sous les pseudonymes Wazawaka, m1x, Boriselcin, Uhodiransomwar, Orange et waza, aurait joué un rôle crucial dans le développement et le déploiement des variantes des ransomwares LockBit, Babuk et Hive depuis au moins juin 2020.
« Wazawaka et les membres de son équipe font preuve d’une avidité insatiable pour le paiement de rançons, démontrant un mépris important pour les valeurs éthiques dans leurs cyberopérations », a déclaré la société suisse de cybersécurité PRODAFT. dit dans une analyse complète partagée avec The Hacker News.
« En employant des tactiques qui impliquent l’intimidation en menaçant de divulguer des fichiers sensibles, en se livrant à des pratiques malhonnêtes et en persistant à conserver les fichiers même après que la victime s’est conformée au paiement de la rançon, ils illustrent le vide éthique qui prévaut dans les pratiques des groupes de ransomware traditionnels. »
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Les conclusions de PRODAFT sont le résultat de données compilées entre avril et décembre 2023 en interceptant des milliers de journaux de communication entre divers acteurs malveillants affiliés à diverses variantes de ransomware.
Matawveev dirigerait une équipe de six testeurs d’intrusion – 777, bobr.kurwa, krbtgt, shokoladniy_zayac, WhyNot et dushnila – pour exécuter les attaques. Le groupe a une hiérarchie plate, favorisant une meilleure collaboration entre les membres.
« Chaque individu apporte ses ressources et son expertise selon les besoins, faisant preuve d’un niveau remarquable de flexibilité pour s’adapter à de nouveaux scénarios et situations », a déclaré PRODAFT.
Matveev, en plus de travailler en tant qu’affilié pour Conti, LockBit, Hive, Monti, Trigona et NoEscape, a également occupé un rôle de direction au sein du groupe de ransomware Babuk jusqu’au début de 2022, tout en partageant ce qui est décrit comme une « relation complexe » avec un autre acteur nommé Dudka, qui est probablement le développeur derrière Babuk et Monti.
Les attaques montées par Matveev et son équipe impliquent l’utilisation de Zoominfo et de services comme Censys, Shodan et FOFA pour recueillir des informations sur les victimes, en s’appuyant sur des failles de sécurité connues et des courtiers d’accès initial pour prendre pied, en plus d’utiliser un mélange de logiciels personnalisés. et des outils prêts à l’emploi pour forcer brutalement les comptes VPN, élever les privilèges et rationaliser leurs campagnes.
« Une fois l’accès initial obtenu, Wazawaka et son équipe utilisent principalement des commandes PowerShell pour exécuter leur outil préféré de surveillance et de gestion à distance (RMM) », a déclaré la société. « De manière distinctive, MeshCentral se distingue comme la boîte à outils unique de l’équipe, fréquemment utilisée comme logiciel open source préféré pour diverses opérations. »
L’analyse de PRODAFT a en outre révélé des liens entre Matveev et Evgeniy Mikhailovich Bogachev, un ressortissant russe lié au développement du Botnet GameOver Zeusce qui était démantelé en 2014, et Société maléfique.
Il convient de noter que les opérations du ransomware Babuk ont été rebaptisées PayloadBIN en 2021, ce dernier étant lié à Evil Corp dans un effort apparent pour contourner les sanctions imposées à son encontre par les États-Unis en décembre 2019.
« Cette association technique, associée à la relation connue entre Wazawaka et le célèbre cybercriminel Bogachev, suggère des liens plus profonds entre Wazawaka, Bogachev et les opérations d’Evil Corp », a déclaré PRODAFT.