Les pirates du rançongiciel Trigona à leur tour hackés

Comme viennent de le rappeler les pouvoirs publics à l’occasion du “Cybermois 2023”, tout le monde peut être visé par un piratage informatique. Ce message de sensibilisation a visiblement échappé aux cybercriminels de Trigona, ce rançongiciel apparu il y a un an. L’Ukrainian Cyber Alliance, des hacktivistes ukrainiens, affirment en effet avoir réussi à voler les données du gang et effacé le contenu de ses serveurs.

Ce piratage de pirates informatiques se serait ainsi soldé, affirme l’un des hacktivistes sur Twitter, par le vol et l’effacement des données du panel d'administration du rançongiciel, et des données volées et mises à disposition sur le site de fuite des cybercriminels. Les hacktivistes auraient également pris la main sur les portefeuilles de crypto-monnaies ainsi que sur les serveurs de développement.

Vulnérabilité du serveur 

Les hacktivistes ont visiblement exploité une vulnérabilité du serveur Atlassian Confluence récemment dévoilée pour mettre à terre l’infrastructure cybercriminelle. Cette faille était exploitée depuis au moins la mi-septembre par un groupe de pirates, avait relevé également Microsoft. Selon Bleeping computer, les hacktivistes ont réussi à pirater le serveur Confluence de Trigona il y a environ huit jours.

Cela leur avait permis de faire la cartographie de l'infrastructure criminelle. Le groupe de pirates informatiques avait alors tenté de contrer l’intrusion en changeant ses mots de passe et supprimant son infrastructure publique, en vain. Le rançongiciel Trigona, qui ciblait les serveurs MS-SQL, notamment avec des attaques du couple identifiant-mot de passe par force brute, aurait fait deux victimes en France, selon Le MagIT.

Méthode contre-productive? 

Si le piratage d’un groupe de cybercriminels ne va guère émouvoir, la méthode employée par les hacktivistes semble toutefois contre-productive. Ces derniers n’ont en effet pas informé les autorités judiciaires de leur trouvaille, préférant l’exploiter en solo.

Interrogé sur Twitter sur le transfert des données à une organisation pouvant poursuivre les cybercriminels, l’hacktiviste de l’Ukrainian Cyber Alliance a précisé qu’il s’agissait de la “prochaine étape”, mais un peu plus tard. “Nous voulons d’abord faire des recherches élémentaires nous-mêmes et ensuite décider comment partager” les données, a-t-il également précisé à un internaute demandant si le contenu des messageries internes seraient mis à disposition des chercheurs en sécurité.