L'équipe Talos de Cisco a échangé avec un cybercriminel, partenaire du gang LockBit. Habitué à déployer des rançongiciels et à faire chanter des victimes, le hacker révèle quelques clés de son activité.

Les cybercriminels prennent rarement la parole, et lorsqu’ils le font, c’est le plus souvent pour médiatiser un de leur méfait. C’est pourquoi la longue discussion, publiée le 2 février, entre Talos, l’équipe de recherche en cybersécurité de Cisco, et « Aleks », un cybercriminel vraisemblablement russe, est si intéressante.

Aleks est un « partenaire » des administrateurs du rançongiciel LockBit. Auparavant, il a aussi travaillé avec Maze, une des organisations les plus redoutées de ces dernières années, qui a révolutionné les pratiques des cybercriminels avant de prendre sa retraite. Concrètement, ces partenariats offrent à Aleks l’accès à plusieurs outils offensifs, dont les fameux « rançongiciels », un type de malware capable de paralyser tout le réseau informatique et les machines des victimes. Lorsque le hacker réussit son coup, il exige une rançon en échange de la réparation des dégâts, puis il menace de publier les données volées si la victime ne s’exécute pas. Une fois la somme payée, il empoche jusqu’à 35 % du montant, le reste étant gardé par les administrateurs du rançongiciel.

De l’argeeeeeent. // Source : Capture d’écran YouTube John Maverick

Comme beaucoup d’autres, le hacker interrogé par Cisco traite son activité criminelle comme n’importe quel métier, avec ses horaires de bureau, ses contraintes et avantages. Il justifie ce choix de « carrière » par les gains que lui apportent ses méfaits, et le peu de considérations (financières et humaines) accordées aux employés des entreprises de cybersécurité en Russie. D’ailleurs, il n’hésite pas à prétendre qu’il travaillerait du bon côté de l’échiquier s’il pouvait avoir les mêmes conditions de travail qu’en Occident.

Cet homme d’une trentaine d’années opère seul, bien qu’il échange astuces et bons plans avec plusieurs communautés de cybercriminels. Et après plusieurs années dans le secteur, il sait comment s’y prendre et qui cibler pour faire son gagne-pain.

Les hackers capitalisent sur les bugs connus

Le profil d’Aleks serait celui de la majorité des cybercriminels : c’est un hacker autodidacte, toujours à l’affût de la moindre nouveauté, mais loin d’être un génie du code. Aleks préfère exploiter des problèmes de sécurité bien connus, qu’il trouve gratuitement, pour s’introduire chez ses victimes. Il profite de la difficulté qu’ont certaines organisations à déployer les mises à jour de sécurité publiées par les éditeurs de logiciel, et du simple oubli d’autres.

Pour lui, c’est l’option de facilité : les codes malveillants pour exploiter ces failles sont accessibles publiquement, et utilisables sans compétences pointues. Autrement dit, la plupart des cybercriminels n’inventent rien, et se contentent de reproduire ce qui fonctionne.

Le hacker confirme aussi un des conseils les plus répandus : il faut déployer les mises à jour de sécurité dès qu’elles sont publiées. Certes, les vulnérabilités ne sont présentées par les entreprises concernées qu’une fois qu’elles ont été réparées. Mais les cybercriminels comme Aleks exploitent les démonstrations des chercheurs en cybersécurité pour exploiter ces failles. Ils s’engouffrent dans le laps de temps entre la publication du patch et son déploiement. Ainsi, ils profitent des failles découvertes par les entreprises elles-mêmes pour s’attaquer à leurs clients trop peu précautionneux.

Les Européens, victimes rentables

Le hacker interrogé par Talos s’explique également sur sa façon de choisir ses cibles. Pour lui, les entreprises du Moyen-Orient sont les cibles les plus faciles à attaquer, en raison de la pauvreté de leurs défenses. Ensuite, il préfère s’en prendre aux Européens. «  L’Europe paie, car ils ont peur du RGPD », affirme-t-il aux chercheurs. À l’inverse, les entreprises américaines paieraient moins facilement d’après lui, et le paiement des demandes de rançon serait encore moins bien vu.

Il est vrai qu’au sein de l’Union européenne, le règlement général européen sur la protection des données peut faire figure d’épouvantail financier malgré lui. Bien que considérée comme victime de l’attaque, l’organisation est aussi considérée comme « responsable de traitement » s’il y a une fuite de données, comme dans le cas des attaques rançongiciel. Elle est alors soumise à un devoir de notification aux autorités des données comme la Cnil en France. Si les données compromises rentrent dans certains critères, l’organisation aura aussi une obligation de communication auprès des personnes concernées.

Pour finir, l’entreprise victime peut être exposée à une amende, du montant le plus élevé entre 10 millions d’euros et 2 % de son chiffre d’affaires mondial. Si certains critères aggravants sont cochés (négligence dans le traitement des données, non-respect du processus de notification…), les autorités peuvent invoquer un second palier, et l’entreprise devra payer la somme la plus importante entre 20 millions d’euros et 4 % de son chiffre d’affaires mondial. De quoi effrayer certaines entreprises victimes, qui ne connaissent pas toujours le détail de ces dispositifs. Cette menace financière s’ajoute à celle liée au ralentissement de l’activité, et peut pousser les victimes à payer leurs rançonneurs…

Crédit photo de la une : Flickr/CC/ Eoghan OLionnain (photo recadrée)

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux