Lizard Squad est vivant et continue des activités comme BigBotPein

Selon les chercheurs, les preuves suggèrent que Lizard Squad est bien vivant, poursuivant ses activités malveillantes sous l'apparence de BigBotPein.

Les chercheurs de ZingBox ont des preuves solides que le groupe BigBotPein est le nouveau nom sous lequel le Lizard Squad mène discrètement des activités cybercriminelles et que Lizard Squad a un lien étroit avec les logiciels malveillants Mirai. Cette information relie Lizard Squad et Mirai (qui est un fait connu) à la série d'attaques DDoS (déni de service distribué) qui a causé une destruction généralisée en 2017. BigBotPein est Lizard Squad Le co-fondateur et PDG de ZingBox, Xu Zou, a déclaré: «Malgré les efforts courageux de nos organismes d'application de la loi pour identifier et démolir divers groupes de piratage, la collaboration entre les groupes rend extrêmement difficile la fermeture définitive de leurs efforts. Les arrestations de membres éminents et de fondateurs de ces groupes ralentissent certainement leur élan, mais les organisations ne peuvent pas se défaire de leur vigilance quant à la sécurité de leur réseau. " Lizard Squad est connu pour certaines attaques DDoS très troublantes et profondes dans l'histoire des crimes numériques. Ce groupe est responsable de la perturbation des réseaux de Sony PlayStation, Xbox Live et Blizzard's Warcraft. Au fil des ans, diverses personnes auraient utilisé le service DDoS de LizardStresser offert par Lizard Squad, et ont fini par être arrêtées. Mirai, Lizard Squad, et BigBotPein D'autre part, Mirai, apparu il y a un an et demi, a fait les gros titres mi-2016 après avoir attaqué avec succès les hébergements d'OVH, le blog de l'expert en sécurité Brian Krebs et l'infrastructure de Dyn DNS avec une armée massive de botnets. Il faut noter que le code source des logiciels malveillants Mirai a été divulgué en ligne quelques semaines seulement après le lancement de ces attaques DDoS et le blog de Brian Krebs a probablement été ciblé parce que les journalistes ont sévèrement critiqué Lizard Squad et lié le groupe à Mirai.

Selon les informations acquises par les chercheurs de ZingBox, les hackers Lizard Squad et Mirai sont liés et le fait que Lizard Squad et Mirai aient tous deux utilisé le même service d'hébergement ukrainien Blazingfast renforce encore ce fait. De plus, il est à noter que le code source des logiciels malveillants Mirai a été publié exactement 9 jours plus tard, lorsque Zachary Buchta, le fondateur de Lizard Squad, a été capturé. Les chercheurs ont pu identifier BigBotPein comme étant connecté à Lizard Squad après avoir analysé un domaine associé à un autre système basé sur Mirai qui a été lancé fin 2017; ce domaine a été enregistré au nom d'une personne liée à Lizard Squad. BigBotPein s'est fait remarquer en soutenant Buchta après avoir été capturé par la police et ce groupe a choisi Mirai comme arme clé de l'Internet des Objets pour cibler une variété de systèmes tels que x86, x64, ARC, MIPS, ARM, SPARC et SuperH. Ajout de mineurs Ethereum et Monero à ses logiciels malveillants En outre, le rapport [PDF] suggère que ce groupe a ajouté les mineurs Ethereum et Monero à son portefeuille de logiciels malveillants et a réussi à improviser leurs compétences en ingénierie sociale dans une large mesure au fil du temps. En octobre 2017, les chercheurs ont également identifié une campagne basée sur Mirai qui utilisait un domaine bigbotpein [.] Com alors que les auteurs Mirai étaient connus pour utiliser blazingfact [.] Io pour contrôler l'armée des botnets. Satori, Memes et Masuta, deux des nombreuses variantes de logiciels malveillants Mirai, ont également été liés à ce groupe et la campagne Satori qui était à l'origine intitulé Okiru a été hébergé à partir de nombreux domaines dont l'un était réseau [.] Bigbotpein [.] Com . À partir de la mi-janvier 2018, les domaines utilisés par Lizard Squad et BigBotPein ont été remplacés par des fournisseurs de services d'hébergement basés aux États-Unis, Rackspace et Search Guide, ce qui souligne encore une fois la connectivité entre les deux groupes. Conclusion Selon les chercheurs de ZingBox, le code malveillant de Mirai contenait une structure qui avait été identifiée en juillet 2017 comme étant liée à Lizard Squad et le code permettait aux logiciels malveillants de décoder discrètement la charge utile du deuxième étage. En outre, un fichier abandonné du contrôle de domaine BigBotPein [.] Almahosting [.] Ru lors de la campagne Satori de novembre 2017 pour lancer le minerai Monero Stratum a également montré des preuves d'un lien entre Lizard Squad et Mirai. "Au cours de cette recherche, nous avons été témoins de la complexité en évolution des différentes variantes de Lizard Squad et du malware du groupe bigbotPein en l'espace d'un an [...]. Les groupes de Lizard Squad et de bigbotPein étaient très actifs en créant la plupart des variantes bien connues de Mirai ", ont noté les chercheurs de ZingBox dans leur rapport. Ainsi, on peut affirmer que malgré l'arrestation de plusieurs membres clés des fondateurs du groupe de hackers Lizard Squad, le groupe est très actif et mène activement des cyber-attaques à travers une autre ID BigBotPein.