Le secteur des rançongiciels — ces malwares qui bloquent les réseaux informatiques des victimes et exigent une rançon — a perdu, coup sur coup, deux de ses figures. Darkside a mis fin à son activité en mai, puis REvil a pris une retraite anticipée en juillet. Leur point commun ? Les deux gangs ont attiré l’attention des autorités américaines après des cyberattaques trop importantes.
Darkside a touché le gestionnaire d’oléoduc Colonial Pipeline et ainsi paralysé pendant quelques jours l’approvisionnement de la côte est en pétrole raffiné. REvil, de son côté, a frappé la division américaine du géant de l’agroalimentaire JBS et menacé la production de viande nationale.
L’administration Joe Biden a adopté une ligne agressive sur le sujet des cyberattaques. // Source : CCO/Gage Skidmore
Or, depuis l’arrivée de l’administration Biden au début de l’année, le gouvernement américain a adopté une position bien plus agressive que par le passé vis-à-vis des rançongiciels. La Maison-Blanche et le président Joe Biden lui-même n’ont pas hésité à confronter la Russie sur son laisser-faire vis-à-vis des opérateurs des rançongiciels, dans les deux affaires. Une collaboration entre les deux pays sur le sujet est d’ailleurs en discussion avancée, et cette épée de Damoclès aurait suffi à faire jeter l’éponge aux deux gangs.
Mais dans le milieu cybercriminel, les mauvaises affaires des uns font les bonnes affaires des autres. Fin juillet, un nouveau gang a publié une annonce de recrutement sur deux forums très suivis par les cybercriminels– mais sans utiliser le terme « rançon », banni par sécurité depuis le récent grabuge. « BlackMatter » se présente comme meilleur que tous les autres, et ne viserait que les plus grandes entreprises. Son idée, développée dans l’interview d’un de ses représentants par The Record Media : pirater un petit nombre de très grosses cibles, plutôt qu’un grand nombre de petites cibles.
Un gang dédié à la pêche aux gros poissons
BlackMatter affirme qu’il peut chiffrer les systèmes plus rapidement que tous ses concurrents, et qu’il a tiré le meilleur des deux gangs disparus. Il se présente ainsi comme plus facile à utiliser, plus sécurisé et plus adaptable à chaque type de réseau. La structure de son outil est si proche de celle de Darkside que plusieurs chercheurs ont supposé qu’il s’agissait de son successeur. Mais le groupe explique qu’il n’a pas les mêmes opérateurs que Darkside, il aurait simplement travaillé avec eux.
« Nous sommes une équipe qui réunit les personnes autour d’un intérêt commun : l’argent », résume-t-il simplement sur son site. Justement, de l’argent, ses créateurs en veulent beaucoup. Pour y parvenir, ils recherchent des accès aux réseaux d’entreprises qui ont un chiffre d’affaires supérieur à 100 millions de dollars par an. Et ils sont prêts à débourser jusqu’à 100 000 dollars pour obtenir l’exclusivité sur ces accès, qui leur permettraient de déployer leur rançongiciel et espérer faire payer la victime.
Rançons demandées : plus de 4 millions de dollars
Comme tous les gangs, BlackMatter a aussi un blog sur lequel il menace de publier les données des victimes qui ne paient pas la rançon. Cette technique de double extorsion est devenue la norme depuis près de deux ans. Le site est pour l’instant vide, signe que toutes les victimes de BlackMatter ont pour l’instant cédé au paiement de la rançon, pourtant déconseillé quasi systématiquement par les spécialistes. D’après le BleepingComputer, le gang aurait déjà au moins obtenu un paiement de 4 millions de dollars.
Ne pas trop attirer l’attention des autorités
Performant, BlackMatter a conscience qu’il devra tout faire pour s’éviter le sort de ces prédécesseurs. C’est pourquoi il affiche clairement sur son site la liste des secteurs qu’il ne ciblera pas : hôpitaux, infrastructures critiques (centrales nucléaires, d’électricité, de traitement des eaux…), l’industrie du pétrole et du gaz, l’industrie de la défense, les entreprises à but non lucratif, et le gouvernement. Si par erreur, il touchait une entreprise de ces secteurs, il s’engage à réparer les dégâts gratuitement.
Mais BlackMatter est loin d’être le premier à faire ce genre de promesse, et elles ont maintes fois été brisées par le passé par d’autres gangs, dont Darkside. Sauf que cette fois, le tri des victimes pourrait être une question de survie pour le groupe. « La distinction entre les industries affichées sur le blog et le forum est avant tout marketing », concède un représentant à The Record. Dans les faits, le tri est purement pragmatique : « nous vérifions chaque cible et décidons si elle peut avoir des conséquences potentiellement négatives pour nous. »
Bref, le nouveau gang a tous les outils pour prendre les places laissées par Darkside et Revil, parmi les opérateurs les plus lucratifs. À condition de s’éviter le courroux des autorités. « Quand nous avons créé notre infrastructure, nous avons pris en compte tous ces facteurs, et nous pouvons dire que nous pouvons résister aux capacités cyber-offensives des États-Unis », avance le porte-parole de BlackMatter, avant de préciser : « Pour combien de temps ? Nous verrons. »
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
