En 2 ans, les méthodes d'extorsion des gang rançongiciels se sont dramatiquement radicalisées.

Ces 4 dernières années, la menace rançongiciel a pris des proportions sans précédent dans le cyberespace. Devenus de loin la crainte numéro 1 des équipes de cybersécurité des entreprises, ces malwares ont la capacité de désorganiser voire de détruire un réseau informatique entier, en plus de compromettre toutes les données sensibles de l’organisation.

Lors de l’attaque, ils laissent une note de rançon sur les appareils infectés. Ils proposent à la victime de payer (en cryptomonnaies) une somme allant de quelques centaines de dollars, pour les particuliers, à plusieurs dizaines de millions de dollars, pour les grands groupes.

Désormais, la quasi-totalité des attaques sont menées par des hackers partenaires des développeurs de l’outil. Appelés « affiliés » dans le jargon, ils se chargent de l’infection des réseaux des victimes. Si l’attaque aboutit au paiement d’une rançon, l’affilié récoltera entre 70 et 80 % du montant pour sa prise de risque, et l’opérateur du rançongiciel gardera le reste.

Les opérateurs des rançongiciels ne cessent de gagner en puissance de frappe.. // Source : Louise Audry pour Numerama

Il n’est pas rare que les victimes paient, parfois plusieurs millions de dollars, bien que le secteur recommande d’ignorer la demande de rançon, et de restaurer son système à partir des sauvegardes.

Mais cette directive n’est pas assez suivie : les gangs sont devenus des machines à cash, capables de réussir plusieurs attaques en l’espace d’une semaine. Ils réinvestissent leurs gains pour augmenter sans cesse leur puissance de frappe, ce qui déclenche un cercle vicieux pour les victimes.

Résultat : alors qu’il y a quelques années les rançongiciels se contentaient d’une demande de rançon, ils tirent désormais sur plusieurs leviers pour faire plier leurs victimes. Et depuis deux ans, leurs pratiques deviennent de plus en plus radicales.

Tout commence avec Maze

Si Wannacry avait donné un avant-goût du désastre que le chiffrement pouvait causer, c’est le groupe Maze, apparu en mai 2019 qui a révolutionné les pratiques des rançongiciels. Parmi les plus actifs, le gang a systématisé une pratique pernicieuse : la double extorsion. Quand leur malware frappait un réseau, les hackers prenaient soin de faire une copie des données, et de l’envoyer sur les serveurs des hackers avant que le chiffrement ne se déclenche.

L’intérêt ? Obtenir un deuxième levier de pression, la publication de données confidentielles, dans le cas où les victimes refuseraient de payer la rançon initiale. L’intérêt devenait évident : déjà à la fin des années 2010, l’écrasante majorité des experts du secteur conseillaient aux victimes de ne pas payer les gangs, et de rétablir leur réseau à partir des sauvegardes. Ce processus peut être long, et coûter autant, voire plus cher que le paiement de la rançon. Mais au moins, la victime n’alimente pas le système criminel, et elle évite une mauvaise surprise dans le cas où les malfaiteurs ne maîtriseraient pas la procédure de déchiffrement.

Tous les gangs ont un blog

La menace de la publication des données volées revient alimenter la tentation du paiement de la rançon, même si dans ce cas aussi, il s’agit de faire confiance à des cybercriminels. Laisser les cybercriminels publier des données de clients, par exemple, peut mener à une perte de confiance et à la rupture de contrat, avec des conséquences financières à la clé. Cela peut aussi mener à une médiatisation de l’affaire, crainte par bon nombre d’entreprises.

La méthode introduite par Maze a rapidement été copiée, et est aujourd’hui devenue la norme. Le groupe a fermé son activité en 2020, mais plus d’une dizaine de gangs disposent désormais d’un blog sur lequel ils menacent de publier les données des victimes. Pire : ils n’hésitent pas à aller encore au-delà dans les menaces pour les faire plier.

Les gangs vont toujours plus loin

Courant 2020 et 2021, les attaques des gangs n’ont cessé de devenir plus pernicieuses. Les cybercriminels durcissent leurs méthodes d’extorsion, et les exemples se sont accumulés tout au long des deux dernières années. Nous les avons listés.

Une note de rançon imprimée… par les victimes

Le 14 novembre 2020, le gang Egregor (considéré comme l’héritier de Maze) fait son premier grand coup : il infecte Cencosud, un géant sud-américain de la grande distribution.

Pour attirer l’attention sur la cyberattaque et mettre leur victime sous pression, les cybercriminels emploient une méthode radicale. Ils impriment en boucle leurs notes de rançon sur toutes les imprimantes touchées par leur attaque. « Bientôt les médias de masse, vos partenaires et vos clients seront au courant de votre PROBLÈME  », menacent-ils.

Campagne de dénigrement sur Facebook

Encore en novembre 2020, le producteur d’alcool Campari est victime du rançongiciel Ragnar Locker. Rançon demandée : 15 millions de dollars. Si Campari ne s’exécute pas, le gang menace de publier plus de 2 téraoctets de données confidentielles.

La victime semble décidée à ignorer la demande de rançon. Alors les cybercriminels décident de réagir en s’offrant une publicité de dénigrement sur Facebook. Ils citent le communiqué prudent de Campari et mettent en avant qu’ils ont bien dérobé un « énorme volume de données ». La pub est retirée assez rapidement, mais plus de 7 000 personnes l’ont vue. Surtout, le gang vient de faire une démonstration de force.

Des attaques DDoS

En janvier 2021, le gang Avalon publie, sur son blog, un nouvel ultimatum à une victime, dont il garde le nom anonyme. Malgré la menace de la double extorsion, elle a refusé de payer. En représailles, Avalon commandite des attaques DDoS pour ralentir, et essayer de faire tomber son site. Leur cible les ignore ? Les cybercriminels répondent par la force.

Harcèlement téléphonique

Face à l’absence de réponse des victimes, certains cybercriminels paient des centres d’appel pour les harceler. « Si vous voulez arrêter de perdre votre temps et restaurer vos données cette semaine, nous vous recommandons de discuter de la situation avec nous sur le chat, sinon les problèmes de votre réseau ne vont jamais se terminer.  » Voici le genre de messages qu’ils passent.

Au moins 3 gangs, Ryuk, Conti et Maze ont fait appel à cette méthode, dès 2020. Une autre façon d’être omniprésent, et de pousser les cibles à bout.

Ruiner le référencement Google

Parfois, les cybercriminels s’emballent dans leurs menaces. En juin 2020, un gang de bas étage, à la recherche de petites rançons, s’en prend violemment à ses victimes qui refusent de payer. « Nous passerons systématiquement par une série d’étapes qui vont entièrement endommager votre réputation », envoient-ils.

Concrètement, ils menacent de nuire au référencement du site de la victime sur Google, ce qui peut avoir de réelles conséquences économiques. Pour y prévenir, ils se prétendent capables de faire du « black SEO », pour manipuler la position du site dans les résultats de recherche. Une menace bien ambitieuse pour un petit groupe de cybercriminels sans la puissance de frappe des gros gangs.

Des menaces boursières

Autre menace un peu délirante. En avril 2021, peu avant d’attaquer Colonial Pipeline et de s’attirer les foudres des autorités américaines, le gang Darkside menaçait… de spéculer à la baisse sur le cours des actions de ses victimes.

Not stonks

L’idée est tordue : si les victimes refusaient de payer, les cybercriminels prétendaient qu’ils allaient indiquer en avant-première, à un groupe de traders complices, la date de la publication des données de leur victime. L’idée ? Que ces partenaires déclenchent une baisse du cours de l’action de l’entreprise, tout en en tirant profit à l’aide d’un mécanisme financier.

Chantage au dossier porno

« Remercions Dieu pour [nom du directeur du service informatique, ndlr]. Pendant qu’il se masturbait, nous avons téléchargé plusieurs centaines de gigaoctets d’informations privées sur les clients de son entreprise. Que Dieu bénisse ses mains poilues, amen ! » Courant mars 2021, la BBC repère cet étrange message sur le blog d’extorsion d’un gang rançongiciel.

En plus de la double extorsion, les cybercriminels font jouer un 3e levier : une sextorsion en bonne et due forme. L’entreprise ne veut pas payer ? Alors le dossier pornographique de son responsable de l’informatique sera publié. Reste à savoir pourquoi le dirigeant avait ce genre de contenu sur le réseau de son travail.

Publication de photos dénudées d’une victime

En juin 2021, un gang a passé une nouvelle ligne rouge : il a publié sur son blog les photos dénudées d’une femme, trouvées lors de l’attaque. Une nouvelle preuve, s’il en fallait, que les cybercriminels ne mettent plus aucune limite à leurs méthodes d’extorsion, tant ils se sentent surpuissants.

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux