Une activité inhabituelle se prépare sur les forums de cybercriminalité russes sur lesquels des pirates ont été observés en train de communiquer avec des acteurs chinois de la menace pour une collaboration.
Les chercheurs en sécurité de Flashpoint, une société de renseignement sur les menaces, ont remarqué une augmentation significative des activités des acteurs de la menace parlant le mandarin sur un forum de piratage russe appelé RAMP et plusieurs communautés du Dark Web.
Les acteurs chinois de la menace ont été encouragés à partager plusieurs conseils, à engager des discussions et à collaborer à des cyberattaques.
Flashpoint a en outre signalé que les Russes avaient déverrouillé les portes de nombreux cybercriminels anglophones et mandarins sur des domaines qui leur étaient autrefois réservés.
Le rapport de Flashpoint mentionne en outre :
"En octobre, les administrateurs de Ramp ont apporté des modifications à l’interface du forum qui le rendent plus accessible aux acteurs de la menace chinois et anglophones",
Des acteurs chinois de la menace présents dans les forums de piratage russes
Les panneaux de piratage russes sont désormais également disponibles en mandarin et en anglais, à l’exception du russe. De plus, les membres du forum sont maintenant souvent adressés en anglais par les admins.
Les commentaires et contenus en anglais sont de plus en plus connus des cybercriminels russes. Les membres et administrateurs de haut rang du forum essaient d’interagir avec les membres de langue chinoise en utilisant la langue chinoise générée par la machine.
Les chercheurs ont en outre identifié une trentaine d’acteurs menaçants chinois sur le forum. Ils suggèrent qu’une forte probabilité que les Russes fassent cela est d’essayer d’établir une alliance avec des pirates chinois pour lancer diverses cyberattaques, éventuellement contre des Américains, des susceptibilités commerciales ou des cybercriminels embarqués pour des opérations de Ransomware-as-a-Service (RaaS).
Il a été notifié que cette action avait été initiée par Kajit qui est l’administrateur de RAMP, qui a affirmé qu’il s’était récemment rendu en Chine et qu’il parlait le mandarin.
Cependant, la collaboration des acteurs de la menace russe et chinois ne se limite pas à RAMP. Une collaboration similaire a été notée sur «XSS forum» par Flashpoint.
Une nouvelle recherche de Flashpoint expliquée :
"Dans la capture d’écran ci-dessous, l’utilisateur XSS "hoffman" salue deux membres du forum qui se sont révélés chinois",
« L’auteur de la menace leur demande s’ils peuvent fournir des informations sur les rançongiciels et l’achat de divers types de vulnérabilités du système. La langue semble être le chinois traduit automatiquement.
Source : Point d’éclair
Au cours du mois précédent, "Orange" ou "boriselcin", qui est un administrateur RAMP et gère également un site nommé Groove, a appelé les cybercriminels à cibler les États-Unis dans un message.
Après que le message ait été couvert par les médias, l’administrateur a déclaré qu’il s’agissait d’une fausse opération et qu’il n’avait été posté que pour manipuler la sécurité et les médias.
Les acteurs de la menace russe ne sont pas les seuls à vouloir cibler les États-Unis pour des cyberattaques. Auparavant, les pirates iraniens ciblaient également les organisations américaines avec Ransomware.
Les chercheurs en cybersécurité d’ Intel 471 et de McAfee ont mentionné que l’acteur de la menace essayait seulement de le dissimuler puisque l’attaque RaaS tentée ne s’est pas déroulée comme prévu.
Un article récent de l’opération Conti ransomware sur RAMP a mentionné la nécessité d'embaucher des associés et d’acheter un premier accès aux réseaux. Le gang mentionne qu’il préfère travailler uniquement avec des cybercriminels russes, mais qu’il est prêt à faire une exception pour les acteurs chinois de la menace.
Cette annonce est en russe, car nous ne travaillons qu’avec des russophones. MAIS, par respect pour l’administrateur, nous ferons une exception pour les utilisateurs sinophones et traduirons même ce message en chinois (vous pouvez même le dupliquer en mandarin et en canotonais !) » – Opération de rançongiciel Conti.
La source: BleepingComputer
À partir de là, il semble que le forum de piratage RAMP encourage les utilisateurs parlant le mandarin dans les attaques.