Des pirates se vengent d’un éditeur d’antivirus… à coups de cocktail Molotov

Travailler pour un éditeur d’antivirus n’est pas forcément de tout repos, notamment en Russie. Le site KrebsOnSecurity vient de révéler comment Dr.Web, un concurrent local du leader Kaspersky, a été victime d’attaques physiques après avoir contrecarré les plans d’un groupe de pirates bancaires.

L’histoire commence le 18 décembre 2013, lorsque l’éditeur publie son analyse d’un cheval de Troie pour distributeurs de billets de banque (Trojan.Skimmer.18). Le jour même, la société reçoit une lettre de menaces, l’ordonnant de retirer sa publication. Dans le cas contraire, l’auteur du texte allait "envoyer criminel pour les têtes de vos développeurs "(sic). Signé : "Le syndicat international des carders". Un "carder" est un malfaiteur spécialisé dans le vol d’informations de cartes bancaires.

Dr.Web ne se plie pas aux menaces. En mars 2014, les locaux de l’un de ses partenaires commerciaux à Saint Pétersbourg sont attaqués deux fois au cocktail Molotov. Une deuxième lettre de menaces est envoyée.

Cher Dr.Web,

Le syndicat international des carders vous a prévenu qu’il fallait arrêter d’interférer de manière inacceptable dans le milieu des distributeurs bancaires. Tenant compte du fait que vous avez ignoré les demandes du syndicat, nous vous avons sanctionné. Pour prouver la détermination du syndicat, votre bureau à Blagodatnaya St a été brûlé deux fois.

Si vous ne supprimez pas toutes les références aux virus skimmer pour ATM (distributeur de billets de banque, ndlr) de vos produits et de tous les produits pour ATM, le syndicat international des carders va détruire les bureaux de Doctor Web à travers le monde. De plus, dans les pays où le syndicat a des bureaux de représentation, il fera pression pour faire interdire les antivirus russes, au prétexte d’une protection contre les services de renseignement russes.

Cette missive a été suivie d’une troisième attaque au cocktail Molotov sur les locaux du partenaire commercial. Trois tentatives d’intrusions ont ensuite été détectées dans les locaux moscovites de Dr.Web. Interrogé par KrebsOnSecurity, le PDG de Dr.Web estime que les auteurs des lettres n’étaient pas de vrais carders, mais plutôt un groupe de développeurs qui vend son logiciel aux carders. L’analyse publiée par Dr.Web représentait donc pour eux un risque commercial.

Le PDG explique, par ailleurs, que ces attaques physiques n’ont pas été perpétrées directement par ces développeurs : elles ont été commandées par eux sur le Dark Web. Heureusement, le commando n’était pas constitué de vrais professionnels : les cocktails Molotov n’ont fait que peu de dégâts. Par la suite, l’éditeur a eu confirmation que ce groupe de pirates était d’origine ukrainienne. En tous cas, cette histoire montre que le mode opératoire des pirates bancaires devient de plus en plus agressif.

Source :

KrebsOnSecurity