Le FBI saisit le domaine du forum de piratage clandestin RAMP

Le FBI a saisi les noms de domaine du réseau classique et du dark web de la plateforme clandestine RAMP. Cette plateforme sert de forum de piratage et s'adresse à plusieurs groupes impliqués dans le ransomware-as-a-service et d'autres activités cybercriminelles.

Bien que le FBI n'ait pas encore publié de déclaration officielle à ce sujet, les noms de domaine utilisés par le forum affichent désormais des bannières indiquant : « Le Bureau fédéral d'enquête a saisi RAMP. » Ces bannières précisent que l' opération a été menée par le FBI en coordination avec le bureau du procureur des États-Unis pour le district sud de la Floride et la section de la cybercriminalité et de la propriété intellectuelle du ministère de la Justice.

Le FBI démantèle un forum de piratage clandestin

RAMP, acronyme de Russian Anonymous Marketplace, était un forum du dark web populaire qui s'adressait principalement à une clientèle russophone impliquée dans la cybercriminalité, notamment des groupes RaaS et des courtiers en accès initial. La fermeture du forum a été confirmée par un utilisateur nommé « Stallman », qui semble être l'un des propriétaires de RAMP. Un message du forum de piratage XSS, traduit du russe, a été partagé sur la plateforme de blogs X.

« C’est avec regret que je vous informe que les forces de l’ordre ont pris le contrôle du forum Ramp. Cet événement anéantit des années de travail pour créer le forum le plus libre au monde, et même si j’espérais que ce jour n’arriverait jamais, je savais au fond de moi que c’était possible. C’est le risque que nous prenons tous », peut-on lire dans le message. Il a également ajouté que, même s’il ne contrôle plus Ramp, il n’a pas l’intention de créer une autre plateforme de toutes pièces.

Stallman a également précisé qu'il poursuivrait son activité d'achat d'accès, soulignant que son activité principale restait inchangée. « Si vous avez quelque chose à me proposer, les conditions sont indiquées dans ma signature. Contactez-moi par message privé et nous échangerons via Jabber/Tox », a-t-il ajouté. Outre son rôle de forum pour les activités liées aux ransomwares, ce site servait de plateforme à des groupes notoires tels que LockBit, Qilin, RansomHub, ALPHV/BlackCat et DragonForce pour promouvoir leurs services.

Le site web comprenait également plusieurs forums de discussion où les utilisateurs publiaient des tutoriels sur les cyberattaques. À propos de sa fermeture, Ben Clarke, responsable du SOC chez CybaVerse, a déclaré que le succès de la plateforme reposait sur le fait qu'elle offrait aux pirates informatiques l'ensemble de la chaîne d'attaque. Cela signifie que les utilisateurs pouvaient accéder à des services allant de l'achat de motsdentpasse volés à la promotion de logiciels malveillants, en passant par la vente et l'achat d'autres services.

Ces techniques de neutralisation sont-elles efficaces ?

Clarke a indiqué que si le démantèlement de RAMP aura un impact temporaire sur les activités criminelles, ses conséquences à long terme pourraient être minimes. « Toute mesure visant à perturber ces activités est un pas dans la bonne direction pour les défenseurs. Mais il serait naïf de croire que cela aura un impact concret sur la cybercriminalité », a-t-il déclaré. « De nouvelles plateformes se formeront pour remplacer RAMP, tandis que les cybercriminels se tourneront vers d'autres plateformes pour acheter et vendre des services. »

Ces dernières années, les forces de l'ordre ont obtenu des résultats mitigés lors des opérations de démantèlement. Si ces opérations sont effectivement réalisées, les plateformes concernées sont souvent réactivées, comme ce fut le cas pour le démantèlement du botnet Emotet en 2022. La plateforme a fait un retour en force. Cependant, cela ne signifie pas que ces opérations sont inefficaces, selon Daniel Wilcock, analyste des menaces chez Talion. Il souligne que les démantèlements restent la meilleure tactique pour les forces de l'ordre afin d'endiguer cybercriminelles et d'obtenir des informations cruciales.

« Bien que cela ne signifie pas la fin des rançongiciels, les forces de l'ordre pourront obtenir de précieuses informations grâce à cette saisie concernant les auteurs de la menace utilisant ces services, comme leurs adresses électroniques et IP, ainsi que l'accès aux transactions financières effectuées sur la plateforme », a-t-il déclaré. « Cela pourrait étayer des poursuites judiciaires contre les auteurs de la menace ayant utilisé le site, mais étant donné que RAMP était largement utilisé par des criminels russes, il est fort peu probable que nous assistions à de nombreuses arrestations. »