Nouvelle Campagne du Botnet Phorpiex

La Campagne du Botnet Phorpiex : Une Menace Renouvelée.

En mai 2024, l’équipe de chercheurs en sécurité de Check Point a découvert une nouvelle campagne malveillante utilisant le notoire botnet Phorpiex.

Cette campagne, caractérisée par la propagation massive d’un ransomware via des millions d’e-mails de phishing, démontre la résurgence inquiétante du botnet Phorpiex, un acteur de la cybercriminalité bien connu.

Phorpiex, initialement démantelé en août 2021 lorsque ses opérateurs d’origine ont vendu son code source, est réapparu en décembre 2021 sous une nouvelle forme. Cette nouvelle variante, surnommée « Twizt », opère dans un réseau peer-to-peer décentralisé, rendant sa neutralisation beaucoup plus complexe. Cette campagne récente témoigne de l’évolution continue de Phorpiex et de sa capacité à s’adapter et à persister malgré les efforts des forces de l’ordre.

La Campagne de Phishing et le Ransomware LockBit Black

La campagne de mai 2024 utilise le botnet pour propager le ransomware LockBit Black. Bien que basé sur LockBit3, LockBit Black n’est pas directement affilié au groupe de ransomware original. Les e-mails de phishing envoyés par Phorpiex contiennent ce ransomware, visant à infecter les systèmes des destinataires et à exiger des rançons pour la récupération des données chiffrées.

Les chercheurs ont identifié plus de 1 500 adresses IP uniques utilisées dans cette campagne, provenant principalement du Kazakhstan, de l’Ouzbékistan, de l’Iran, de la Russie et de la Chine. Cette répartition géographique illustre la portée mondiale du botnet et sa capacité à orchestrer des attaques coordonnées à grande échelle.

Le Contexte Plus Large du Ransomware LockBit

LockBit, un ransomware fonctionnant selon un modèle de Ransomware-as-a-Service (RaaS), a été signalé pour la première fois en septembre 2019. Il cible principalement les grandes entreprises et les entités gouvernementales, évitant les individus en Russie et dans la Communauté des États indépendants. Récemment, les forces de l’ordre ont réussi à perturber temporairement LockBit3 en dénonçant certains de ses dirigeants et affiliés et en libérant plus de 7 000 clés de décryptage.

Cyberattaques Liées à Phorpiex et LockBit

  • Campagne de Spam Sextortion de Phorpiex (2019) : En 2019, Phorpiex a été impliqué dans une vaste campagne de spam sextortion, menaçant les victimes de divulguer des vidéos compromettantes prétendument enregistrées via leur webcam. Cette campagne a touché des millions d’utilisateurs, exploitant la peur et la honte pour extorquer de l’argent.
  • Attaque de Phorpiex avec GandCrab (2019) : Phorpiex a également été utilisé pour distribuer le ransomware GandCrab, l’un des ransomwares les plus lucratifs de l’époque. Cette combinaison a permis de maximiser les gains financiers des cybercriminels en infectant un grand nombre de systèmes.
  • Attaque de LockBit contre la Région de la Capitale Nationale (2021) : En 2021, LockBit a mené une attaque contre la Région de la Capitale Nationale du Canada, paralysant les systèmes informatiques et exigeant une rançon substantielle. Cette attaque a démontré la capacité de LockBit à cibler des infrastructures critiques et à causer des perturbations significatives.
  • Attaque de LockBit contre le Ministère de la Santé de l’Ukraine (2022) : LockBit a également été impliqué dans une attaque contre le Ministère de la Santé de l’Ukraine en 2022, compromettant des données sensibles et perturbant les opérations médicales. Cette attaque faisait partie d’une série d’attaques contre des institutions gouvernementales en Europe de l’Est.

Conclusion

La résurgence du botnet Phorpiex et sa campagne récente de propagation de ransomware illustrent les défis persistants posés par les cybermenaces évolutives. Les cybercriminels continuent d’adapter leurs stratégies, exploitant des technologies décentralisées et des modèles économiques sophistiqués comme le RaaS. La vigilance et l’innovation continue en matière de cybersécurité sont essentielles pour contrer ces menaces et protéger les infrastructures critiques à l’échelle mondiale.

A propos de l'auteur

Retour en haut