Les attaques de type « rançon », dans lesquelles les pirates arrêtent les processus d’un système ciblé, chiffrent les données, puis demandent une « rançon » pour les déverrouiller. Leurs méthodes sont de plus en plus sophistiquées et de plus en plus sophistiquées, et ils deviennent aussi organisés qu’une entreprise.
Le communiqué de presse indiquait ce qui suit. « Nous avons créé DarkSide parce qu’il n’y avait pas un produit sur le marché que nous voulions. Il est maintenant disponible.
C’est une plainte courante dans les documents de présentation pour le capital-risque. Mais le « DarkSide » mentionné ici n’est pas une start-up. C’est un logiciel de rançon utilisé par les pirates informatiques. Le rançonnement est une méthode d’attaque qui arrête les processus d’un système, chiffre les données et demande une « rançon » pour le déverrouiller.
Il y a un étrange professionnalisme à l’œuvre ici. Par exemple, si vous payez la somme demandée, le système sera rétabli dans un certain délai, comme promis. Il existe même un support de chat en temps réel et des stratégies de reconnaissance de la marque.
Travailler comme une entreprise
Les attaques par rançon sont désormais une activité légitime, et les pirates informatiques acceptent les règles et les responsabilités qui accompagnent le fait d’être une « entreprise commerciale ». Le communiqué de presse a été téléchargé sur le site web de DarkSide le 10 août et a d’abord été diffusé sur le site d’information sur la cybersécurité Bleeping Computer. Dans un communiqué de presse, les hackers qui ont développé Emsisoft, Inc. ont déclaré qu’ils ne cibleraient pas les hôpitaux, les écoles, les associations à but non lucratif ou les agences gouvernementales.
Ce groupe de hackers est devenu impitoyablement efficace », a déclaré Brett Callow, analyste des menaces chez Emsisoft, une société spécialisée dans les antivirus. Plus ils agissent de manière amicale envers leurs victimes, plus ces pirates ont de chances de réussir. En d’autres termes, ils sont plus susceptibles de payer (la rançon).
Les pirates qui lancent des attaques sont devenus impitoyablement efficaces », déclare Brett Callow de la société Emsisoft, qui développe des logiciels antivirus. Plus il est facile de payer la rançon, plus les chances de succès sont grandes.
Et une offre de « prix réduit » pour l’assistance en ligne.
Le nombre d’attaques très sophistiquées avec demande de rançon augmente lentement, mais c’est parce que le succès engendre le succès. Une fois que la victime paie la rançon, le groupe de pirates informatiques l’investit dans l’amélioration de la qualité du système d’attaque ; selon l’Emsisoft, les attaques avec rançon en 2019 ont coûté 7,5 milliards de dollars rien qu’aux États-Unis.
DarkSide n’est pas le seul groupe de hackers à lancer des attaques avec des systèmes bien organisés. Par exemple, un logiciel de rançon appelé REvil dispose également d’une fonction de support par chat, et les pirates ont déclaré que « c’est un commerce et le but est de faire des bénéfices. C’est une entreprise et son but est de faire des bénéfices, pas de conclure un marché. Maze utiliserait également un modèle de paiement à la performance, les attaquants qui gagnent de l’argent en utilisant le logiciel de rançon versant une certaine somme au développeur.
Le géant du voyage Carlson Wagonlit Travel (CWT) a été victime de Ragnar Locker à la fin du mois de juillet, mais selon un rapport de Reuters, le groupe criminel était amical, du moins en surface. Les représentants de la « ligne d’assistance » ont été agréables et ont même offert une réduction de 20 % en plus de détailler les services qu’ils obtiendraient pour le paiement de la rançon. Et même après que CWT ait payé le montant spécifié et reçu la clé de décryptage, le chat était disponible en cas de problème.
À la fin de la discussion avec CWT, un membre du groupe de pirates informatiques a écrit : « Nous avons été heureux de parler avec un professionnel. C’est presque comme s’il s’agissait du retour d’une paire de jeans dans un magasin de vêtements. »
Jeremy Kennelly, analyste de la société de cybersécurité Mandiant Threat Intelligence, explique Depuis les premiers jours des logiciels de rançon, les pirates informatiques essaient de fournir un service décent. Ils ont contacté leurs cibles par chat et par e-mail, et une fois la rançon payée, ils leur ont fourni les outils appropriés dont ils avaient besoin pour récupérer les systèmes et les fichiers touchés.
Calculer le montant qu’une entreprise peut payer sur la base des données
Les organismes de soins de santé ont souvent été victimes d’attaques par rançon dans le passé, mais ils sont aujourd’hui confrontés à toutes sortes de problèmes en raison de la nouvelle pandémie de coronavirus (pandémie mondiale). Pour cette raison, DarkSide a exclu les hôpitaux de ses cibles et a déclaré publiquement qu’elle n’attaquerait que les organisations qui ont les moyens de payer la rançon. Selon le communiqué de presse, la société « examine la situation financière de la cible avant de lancer une attaque et calcule le montant qu’elle peut payer à partir de ses ventes ».
Ces pratiques ne sont pas rares ; Mandiant affirme qu’un groupe de pirates informatiques qui prévoyait d’utiliser Maze pour lancer des attaques essayait d’engager quelqu’un qui pourrait travailler à plein temps pour examiner la situation financière de plusieurs entreprises.
Kimberly Goody, de Mandiant, a déclaré aux journalistes : « Nous avons vu des outils spécialisés qui semblent avoir été développés pour calculer rapidement les revenus d’une entreprise. Depuis juillet, nous avons vu des programmes annoncés qui prennent des informations de ZoomInfo (la plateforme d’information) et les publient, comme le chiffre d’affaires d’une entreprise, le nombre d’employés et le lieu où elle se trouve.
En d’autres termes, ce que fait DarkSide n’est pas nouveau. Il montre simplement l’état actuel des attaques hautement spécialisées de logiciels contre rançon. En même temps, le nom de DarkSide laisse entrevoir les choses terribles qui peuvent arriver lorsque les victimes ne paient pas la rançon.
Le baton et la carotte pour forcer à payer 🙂
Ce groupe criminel est poli, mais en plus de crypter les fichiers de ses victimes pour les rendre inaccessibles, il vole également des données et menace de les rendre publiques si la victime tente de restaurer son propre système. La société a déclaré qu’elle indiquera la taille de l’ensemble des données obtenues et les informations qu’elles contiennent, ainsi que les noms des victimes.
Si la victime ne se conforme pas à la demande, l’entreprise a pour politique de conserver les données volées ici pendant au moins six mois. En fait, à la fin du mois d’août, la société a révélé qu’elle avait obtenu 200 Go de données, y compris des informations internes telles que des informations sur le personnel et les finances, du géant immobilier canadien Brookfield Residential dans ce qu’elle a appelé la première phase de l’attaque.
Il s’agit d’un trope familier dans les attaques par rançon : lorsque Grubman Shire Meiselas & Sacks, un grand cabinet d’avocats ayant un grand nombre de clients dans l’industrie du divertissement, a été infecté par REvil en mai, le groupe a facturé 24 millions de dollars (2,55 milliards de dollars), tandis que les auteurs ont affirmé et a publié des documents de 2,4 Go concernant Lady Gaga comme preuve qu’ils obtenaient ces données. Les pirates informatiques ont ensuite tenté de vendre les données volées en les mettant aux enchères sur le web noir.
Dans le cas d’un autre logiciel de rançon, « NetWalker », les sites web obscurs qui publient les données volées ont une fonction de temporisation qui décompte le temps restant jusqu’à ce que le paiement soit dû. Les hackers qui ont développé Pysa appellent également leurs victimes « partenaires », et les données volées portent des titres à la mode comme « 17 Go d’informations formidables que vous mourrez d’envie de connaître ».
Le Callow d’Emsisoft décrit cette pratique comme « un bonbon et un fouet ». Récemment, les méthodes se sont encore intensifiées, et si la rançon n’est pas payée dans les délais, la société dit qu’elle informera les médias, les concurrents de la victime et les autorités qu’elle a obtenu les données. Selon M. Callow, « ils ne menacent pas seulement de divulguer les données, ils les utilisent comme une arme ».
Un cycle négatif qui ne s’arrêtera pas
En examinant ces méthodes, l’horreur des attentats cachée derrière leur caractère aimable devient plus évidente. Ed Cabrera, responsable de la cybersécurité chez Trend Micro, note : « Les attaquants ne cherchent pas seulement à causer des problèmes de cryptage, ils essaient d’instiller la peur. En leur montrant de quoi ils sont capables, ils essaient de convaincre leurs victimes que « ça ne sert à rien de résister, il faut payer la rançon » et que « les criminels sont des professionnels, et si vous les payez, ils restaureront vos données ».
Les criminels investissent leurs profits dans leur « entreprise » et s’attaquent à des proies de plus en plus grosses, et il est peu probable que ce cycle s’arrête dans un avenir proche. Et il est peu probable que ce cycle négatif s’arrête dans un avenir proche.
Quelle que soit la taille de votre entreprise, il y a toujours un trou dans votre sécurité. Et comme la majorité des groupes criminels qui lancent des attaques de logiciels contre rançon sont basés en dehors des États-Unis, les autorités ne peuvent pas faire grand-chose.
Soit dit en passant, le développement le plus récent lié à l’attaque par rançon était contre le groupe de hackers russes Evil Corp. En décembre dernier, les forces de l’ordre ont inculpé le chef présumé d’Evil Corp, qui serait responsable de l’attaque de juillet dernier contre le fabricant d’appareils de fitness Garmin.
