RansomLook est un projet open source qui se présente comme une véritable plateforme pour suivre l’activité des ransomwares. Il agit comme un agrégateur pour surveiller l’activité des ransomwares, y compris via les “Data Leak Sites” des cybercriminels. C’est une ressource très intéressante pour de la veille, en particulier dans le contexte de la Threat Intelligence.

Une visibilité complète sur l’activité des ransomwares

La surveillance de l’ensemble des groupes de ransomware est une tâche complexe et chronophage. En effet, chaque groupe, qu’il s’agisse de LockBit, Qilin ou encore Medusa, et même de nouveaux venus, opère sur son propre portail pour publier la liste de ses victimes. L’accès s’effectue généralement par l’intermédiaire du réseau Tor et d’une adresse propre à chaque portail (que l’on appelle Data Leak Site).

De plus, l’écosystème des ransomwares est volatil : des groupes disparaissent (souvent après une opération de police), d’autres changent de nom (opérations de “rebranding”) ou modifient l’adresse de leur site .

C’est là que RansomLook intervient en centralisant ces informations. Basé sur le projet RansomWatch (désormais archivé), RansomLook se positionne comme une solution capable de scanner et d’indexer les publications issues des différents sites de fuites de données. L’objectif : proposer une visibilité permanente sur qui a été touché, par quel groupe, et quelles sont les données potentiellement compromises (en particulier via les copies d’écran partagées par les cybercriminels).

À ce jour, RansomLook recense plus de 30 000 publications de plus de 500 groupes de ransomware grâce à un tracking opéré depuis 2022. Au-delà des sites de fuites de données, RansomLook surveille aussi d’autres canaux comme Telegram.

Au-delà de proposer une présentation simplifiée qui évite de devoir naviguer directement sur le Dark Web pour obtenir l’information brute, voici les principales fonctionnalités de RansomLook :

• Indexation multi-groupes : regroupement des publications de dizaines de gangs de ransomware.
• Historique des victimes : possibilité de consulter les archives pour chaque groupe.
• Tendances : voir quels sont les groupes les plus actifs (le plus de messages postés) sur les X derniers jours.
• Renseignement : des informations sur les portefeuilles crypto, les fichiers analysés (section peu fournie pour le moment), les URL ou encore les notes de rançon sont aussi répertoriées.
• Présentation des groupes : une fiche détaillée permet d’en savoir plus sur chaque groupe référencé. Il y a plusieurs métriques, comme le nombre de publications, et des informations plus spécifiques, comme l’adresse e-mail de contact, les URL associées aux sites utilisés par le groupe ou encore l’historique des publications.

• Statistiques : explorer les publications par période, groupes et agrégation, ce qui génère des graphes en fonction des critères sélectionnés. Il est aussi possible d’exporter les données au format CSV.

Note : une API est également disponible pour récupérer des informations sur les groupes, les dernières statistiques ou encore sur les transactions crypto observées. Ceci permet de solliciter RansomLook depuis des outils tiers ou des scripts personnalisés. Un flux RSS permet aussi de suivre directement le flux de publications global.

Un atout pour la Threat Intelligence

RansomLook présente un intérêt pour la Threat Intelligence. En disposant d’un flux de données structuré, les entreprises, les chercheurs et les personnes comme moi peuvent automatiser une partie de leur veille. Cela permet de récupérer des données chaudes et actualisées quotidiennement sans devoir le faire manuellement ou mettre au point un outil personnel capable de le faire.

C’est appréciable pour avoir une vue d’ensemble de l’activité des différents groupes, que ce soit pour traquer les dernières victimes ou même pour suivre l’émergence de nouveaux groupes (y compris via le suivi des tendances). La base de connaissance de RansomLook me semble aussi intéressante pour venir enrichir des outils de sécurité.

D’un point de vue opérationnel, grâce à cet outil, les administrateurs système, les consultants en cybersécurité et les responsables sécurité (RSSI) peuvent vérifier si leurs partenaires, leurs fournisseurs et même leurs clients sont mentionnés sur les sites où sont divulguées les fuites de données. Ce type d’informations peut permettre d’anticiper les risques de rebond après l’attaque d’un partenaire.

RansomLook est un projet open source disponible sur GitHub. Principalement codé en Python, RansomLook s’appuie notamment sur des scripts de récupération de données (scrapers) qui servent à récupérer les données fraîches relatives à chaque groupe de ransomware. Je n’ai pas testé, mais vous pouvez aussi envisager d’auto-héberger votre instance personnelle de RansomLook.

Si vous souhaitez découvrir RansomLook, voici deux liens utiles :

• Visiter RansomLook.io
• GitHub / RansomLook