Début de mois, 0apt surgit sur le dark web avec plusieurs dizaines de « victimes » d’un coup. Mais derrière cette vitrine de ransomware, plusieurs enquêtes révèlent une mécanique de bluff pensée pour piéger entreprises et analystes.
Le groupe 0apt s’est présenté comme une nouvelle opération de ransomware. ZATAZ vous expliquait dernièrement la diffusion de plusiurs dizaines d’entreprises annoncées comme prédument piratées. Quelques jours aprés un entretien avec ce qui semble être l’instigateur de 0apt, plus de 150 entreprises étaient affichées, dont des géants de l’industrie. Un volume inhabituel dans cet écosystème. Même si l’interlocuteur interviewé nous expliquait alors qu’oapt était la fusion de plusieurs anciens partenaires/groupes de pirates. En contrôlant leurs affirmations, des chercheurs ont mis au jour ce qui semble être une supercherie : le site de fuites propose des liens de téléchargement qui ne livrent aucun document, mais un flux infini de données aléatoires générées en temps réel. L’illusion imite un gros fichier chiffré, sans signature identifiable, et peut faire perdre des jours sur Tor, le temps de téléchargement inutile. Objectif présumé : exploiter la peur, provoquer une crise d’image et pousser au paiement pour retirer un nom, même sans vol de données.
Une vitrine de 190 victimes pour imposer le récit
Quand un nouveau nom apparaît dans l’univers du rançongiciel, il avance souvent à petits pas, une entreprise affichée, puis une autre, afin de construire sa réputation. 0apt a choisi une autre trajectoire : frapper fort, immédiatement, avec une liste de plusieurs dizaines d’organisations. Au moment de l’écriture de cet article, le site des présumés pirates affiche 152 potentielles victimes. Le chiffre, à lui seul, crée un effet de sidération. 71 victimes en 48 heures. 152 en 5 jours. La cible semble immense, transversale, presque systémique. Dans ce décor, l’ombre du dark web fait le reste : le lecteur imagine des réseaux compromis, des sauvegardes détruites, des négociations nocturnes.
SERVICE DE VEILLE ZATAZAlerte : savoir si vos données personnelles ont fuité.
À partir de 0,06 € / jour
Activation rapide • Alertes prioritaires • Veille web, dark web
Sans prestataire extérieur • 100 % souverain
La ruse /dev/random, ou l’art d’épuiser l’analyste
Selon des chercheurs qui ont observé le trafic, le mécanisme serait d’une simplicité redoutable : le serveur renverrait vers le navigateur un flux de type /dev/random, un générateur standard de bits aléatoires. Le résultat est trompeur parce qu’il ressemble à ce que beaucoup s’attendent à voir sur un site de fuite : un gros fichier opaque, potentiellement chiffré, donc naturellement illisible sans clé. À l’analyse réseau, cet enchevêtrement de données peut mimer un téléchargement « sérieux » sans fournir la moindre preuve matérielle.
Le flux n’a pas d’identité, donc il imite facilement un conteneur chiffré. Le groupe ajoute une seconde couche de tromperie en masquant la taille affichée, pour faire croire à plusieurs centaines de gigaoctets. Sur Tor, dont la lenteur est bien connue, la combinaison devient une arme. Un analyste, un journaliste ou une équipe sécurité peut s’acharner pendant des jours, persuadé d’être en train de rapatrier un trésor de preuves, avant de comprendre qu’il a seulement capturé du vide.
Pourquoi construire une fausse fuite plutôt que voler des données ? Parce que l’effet recherché n’est pas technique, il est émotionnel. Si le nom d’une entreprise apparaît sur un site criminel, accompagné d’un lien affiché comme massif, l’angoisse interne peut démarrer avant toute validation. Pour certaines sociétés très exposées, le titre compte parfois autant que la réalité du contenu. 0apt parie sur ce réflexe : obtenir un paiement non pas pour restituer des données, mais pour effacer une mention, autrement dit monnayer la sortie d’un tableau d’affichage. Il n’est pas le premier à le faire, mais il est le premier a être aussi visible.
Le dispositif brouille aussi les radars. En saturant la zone d’entrées, le groupe a de quoi tromper des systèmes automatisés qui surveillent le dark web, des robots qui agrègent et republient des « victimes » dès qu’un nouveau nom apparaît. Le volume devient alors un amplificateur : la supercherie gagne en crédibilité simplement parce qu’elle est répétée, relayée, indexée. Dans cette configuration, 0apt ressemble moins à une équipe d’intrusion qu’à un vendeur de mirages, efficace tant que personne ne prend le temps de vérifier que la fuite n’existe pas.
Au fond, la meilleure réponse décrite ici n’est pas seulement une barrière de plus, mais une discipline de renseignement : recouper, tester, mesurer, et résister à l’urgence médiatique.
News & Réseaux Sociaux ZATAZChaque vendredi midi, recevez gratuitement les actualités de la semaine.
