Cela vous fera sourire : Nous aimons entendre des histoires de mauvais acteurs qui obtiennent leur récompense. Celui-ci est génial, cependant, car non seulement un groupe de pirates informatiques a été servi (littéralement), mais plusieurs d’entre eux se sont infectés par des logiciels malveillants en raison d’une mauvaise configuration de leur propre équipement.

Startup cybersécurité Buguard a travaillé dur pour pirater les pirates. À l’aide d’un exploit qu’il a trouvé, il a perturbé les serveurs de logiciels malveillants et de rançongiciels, verrouillage leurs opérateurs. TechCrunch note que la société a effectivement mis cinq serveurs de commande et de contrôle (C&C) hors ligne, dont quatre sont devenus entièrement sombres.

Les contre-attaques ont été rendues possibles après la fuite en ligne du code source d’un logiciel malveillant appelé Mars Stealer. Mars Stealer est une plate-forme de logiciels malveillants en tant que service où les pirates peuvent louer du temps de serveur pour mener des attaques. Une fois le code source divulgué, les pirates ont commencé à configurer des serveurs indépendamment plutôt que de payer.

Avant même que Buguard ait mis la main sur le code, des pirates incompétents faisaient déjà un travail décent en bloquant leurs serveurs par eux-mêmes à cause d’instructions d’installation erronées divulguées avec le code.

Les journaux des victimes et les données volées étaient entièrement ouverts à Internet. Selon Morphisec, les opérateurs de logiciels malveillants en herbe suivant les instructions erronées se sont retrouvés configuration leurs serveurs C&C pour accorder par inadvertance “l’accès complet (777)” au monde. Dans certains cas, l’incompétence des hackers potentiels a laissé des “actifs critiques” exposés.

2022 11 23 image 13

Ensuite, Buguard est arrivé et a examiné le code source de Mars Stealer et a trouvé une vulnérabilité. Les chercheurs ont développé un exploit pour la faille qui leur a permis de s’introduire dans les serveurs C&C, y compris ceux que les opérateurs ont correctement configurés, et de les prendre en charge.

Une fois dans le système, Buguard a supprimé les journaux de la victime et les données volées et a coupé la connexion des ordinateurs infectés au serveur C&C. Pour ajouter l’insulte à l’injure, les chercheurs ont brouillé les mots de passe du tableau de bord de Mars Stealer afin que les opérateurs soient verrouillés hors de leurs systèmes. Les contre-grèves ont effectivement mis cinq serveurs hors service puisque les opérateurs ont dû tout recommencer à zéro pour reconfigurer leurs serveurs et réinfecter leurs victimes. Sur les cinq systèmes C&C que Buguard a supprimés, un seul est revenu en ligne.

Bien qu’il soit bon d’entendre parler de pirates informatiques goûtant à leur propre médecine, ce que Buguard a fait n’était pas tout à fait légal, passant son chapeau blanc au gris. Techniquement, il est illégal de s’introduire dans n’importe quel système informatique, quelle que soit son utilisation, à moins que vous ne soyez dans l’application de la loi et que vous ayez un mandat. La règle générale dans la recherche sur la sécurité est de regarder, de documenter et de rapporter, mais de ne pas toucher.

Cependant, Buguard prévoit d’impliquer les autorités et de les aider à supprimer davantage de serveurs. En attendant, il ne publie aucun détail sur la vulnérabilité, qui existe également dans un malware similaire appelé “Erbium”, de sorte que les black hats ne savent pas quoi corriger.