Un développeur du site du ransomware 8Base identifié

Dans une enquête de l’expert cyber américain Brian Krebs, publiée le 18 septembre 2023, on peut lire que l’un des développeurs du site de « name and shame » opéré par le groupe de rançongiciel 8Base, a été identifié. Cette plateforme du dark web liste des centaines d’organisations victimes d’une attaque par ransomware, ayant refusé de payer la rançon.

Les cybercriminels ont toutefois commis un impair en mettant en ligne le site en mode « développement », et non en mode « production ». Une requête inappropriée générait donc une page d’erreur contenant un lien vers le dépôt Gitlab d’une partie du code source du site. Ce dépôt a permis de remonter jusqu’à son auteur, un Moldave de 36 ans, Andrei Kolev.

Interrogé, il a nié toute implication dans la réalisation du site cybercriminel. Mais le lien vers le dépôt Gitlab a disparu de la page d’erreur peu après cet entretien. « Les groupes de ransomware sont connus pour embaucher à distance des développeurs pour des projets spécifiques sans divulguer exactement qui ils sont, ou comment le code du nouvel employé sera utilisé, et il est possible que l’un des clients de M. Kolev ne soit qu’une façade pour 8Base », précise Brian Krebs dans son enquête.

Actif depuis mars 2023, 8Base demeure très mystérieux, malgré un pic d’activité en juin 2023, selon une analyse de VMWare. « 8Base a un modèle opportuniste de compromission avec des victimes récentes couvrant des secteurs variés. Malgré le nombre élevé des cyberattaques, les identités, la méthodologie et les motivations derrière ces incidents restent un mystère », précise VMWare.