Les opérateurs derrière les ransomwares manquent de plus en plus à leur promesse de supprimer les données volées après qu'une victime ait payé une rançon. En 2019, des hackers derrière le ransomware Maze ont introduit une nouvelle tactique connue sous le nom de double extorsion; les attaquants volent des fichiers non chiffrés et menacent de les diffuser publiquement si une rançon n'est pas payée.Désormais, non seulement les victimes sont extorquées par le chiffrement de leurs fichiers, mais aussi par le risque que leurs données soient publiées et provoquent une violation de données.
Cette tactique a été rapidement adoptée par d'autres hackers durant leurs campagnes d'attaques aux ransomwares, dont les auteurs ont parfois créé des sites pour publier les fichiers volés aux victimes. Dans le cadre de cette tactique de double extorsion, la plupart des opérations de ransomware obligent la victime à payer une seule rançon qui fournira à la fois un décrypteur pour leurs fichiers chiffrés et une promesse de ne pas partager et de supprimer les fichiers volés. Certaines opérations de ransomware, comme AKO / Ranzy, exigent deux paiements de rançon, un pour le décrypteur et un autre pour ne pas publier de données volées.
Au vu de la recrudescence des attaques par ransomwares, Coverware a publié un rapport qui dresse le bilan du troisième trimestre 2020 quant à cette menace particulière.
Le paiement moyen de rançons est passé à 233 817 $ au troisième trimestre 2020, en hausse de 31% par rapport au deuxième trimestre. Le paiement médian au troisième trimestre a légèrement augmenté, passant de 108 597 $ à 110 532 $, ce qui reflète l'importance des paiements des entités les plus importantes qui continuent de faire grimper les moyennes. Le déséquilibre au sein de l'industrie de la cyberextorsion était évident lorsque les attaquants ont découvert que les mêmes tactiques, techniques et procédures (TTP) qui fonctionnent sur une entreprise de 500 personnes peuvent fonctionner sur une entreprise de 50 000 personnes et que le bénéfice potentiel est considérablement plus élevé. L'augmentation spectaculaire des montants des rançons peut impliquer un degré plus élevé de sophistication à mesure que les attaquants montent en gamme, mais Coveware ne pense pas que les attaques soient plus sophistiquées.
Le changement le plus important au cours des six derniers trimestres est que les acteurs malveillants réalisent maintenant que leurs tactiques s'adaptent à des entreprises beaucoup plus grandes sans trop augmenter leurs propres coûts d'exploitation. Les marges bénéficiaires sont extrêmement élevées et le risque est faible. Ce problème continuera de s'aggraver jusqu'à ce que des pressions soient exercées sur les paramètres économiques unitaires de cette industrie illicite. Il est également possible que l'afflux de configurations à distance et de travail à domicile, avec l'utilisation de plusieurs technologies, ait permis aux acteurs malveillants d'exploiter des vecteurs d'attaque qui n'existaient pas auparavant.
Top 10: Part de marché des attaques de ransomware au troisième trimestre 2020
Sur la base du suivi de l'activité de Maze par Coveware, les dernières attaques contre des entreprises par le malware ont eu lieu à la fin du mois de septembre et les opérateurs ont depuis annoncé qu'ils allaient disparaître. Depuis, des affiliés moins expérimentés ont probablement introduit le code du ransomware Maze dans les variantes du ransomware Sekhmet et Egregor. À en juger par leur ascension prolifique et leurs tactiques similaires, Egregor semble en être l'héritier.
Payer la rançon n'empêche pas les cybercriminels de publier vos données
Près de 50% des attaques par ransomware incluaient la menace de publier des données volées par les opérateurs. La menace de publier des données volées a été utilisée comme le déclencheur du paiement de la rançon. Auparavant, lorsqu'une victime de ransomware disposait de sauvegardes adéquates, elle se contentait de restaurer ses systèmes et de continuer sa vie; il n'y avait aucune raison d'amorcer le dialogue avec les cybercriminels. Désormais, lorsqu'un acteur malveillant vole des données, une entreprise avec des sauvegardes qui peuvent être restaurées sans encombre est souvent obligée d'engager au moins le dialogue avec les cybercriminels pour déterminer quelles données ont été prises.
Coveware estime que nous avons atteint un point de basculement avec la tactique d'exfiltration de données. Bien que certaines entreprises aient choisi de payer les acteurs malveillants afin qu'ils ne divulguent pas les données volées, Coveware a vu s'effilocher les promesses des cybercriminels de supprimer les données une fois la rançon payée. La liste ci-dessous comprend les groupes de ransomwares qui ont fait du chantage publiquement à leurs victimes après qu'elles aient payé une rançon, ou qui ont demandé un deuxième paiement à une entreprise qui avait précédemment payé pour que les données soient supprimées / non divulguées:
- Sodinokibi : les victimes qui ont payé ont été extorquées à nouveau des semaines plus tard avec des menaces de publier le même ensemble de données.
- Netwalker : les données volées à des entreprises qui ont payé pour qu'elles ne soient pas divulguées ont quand même été publiées sur un site.
- Mespinoza : les données volées à des entreprises qui ont payé pour qu'elles ne soient pas divulguées ont quand même été publiées sur un site.
- Conti : les opérateurs ont présenté de faux fichiers qu'ils ont supprimés comme preuve de bonne foi (les vrais fichiers étaient donc toujours en leur possession).
Bien que les victimes puissent estimer qu’il existe des raisons valables de payer pour empêcher le partage public de données volées, la politique de Coveware est de conseiller aux victimes de s’attendre à ce qui suit si elles choisissent de payer:
- Les données ne seront pas supprimées de manière crédible. Les victimes doivent supposer qu'elles seront communiquées à d'autres acteurs malveillants, vendues ou détenues pour une deuxième / future tentative d'extorsion.
- Le/les opérateur(s) qui a/ont conservé des données volées ne les avaient pas nécessairement gardés en sécurité. Même s'ils venaient à supprimer un volume de données à la suite d'un paiement, d'autres parties qui y ont eu accès peuvent en avoir fait des copies afin de pouvoir extorquer la victime à l'avenir.
- Les données peuvent être publiées de toute façon par erreur ou exprès avant qu'une victime ne puisse même répondre à une tentative d'extorsion.
Contrairement à la négociation d'une clé de déchiffrement, la négociation de la suppression des données volées n'a pas de réelle fin. Une fois qu'une victime reçoit une clé de déchiffrement, elle ne peut pas lui être enlevée et ne se dégrade pas avec le temps. Avec des données volées, un acteur malveillant peut revenir pour obtenir un deuxième paiement à tout moment dans le futur. Aussi, Coveware conseille à toutes les victimes d'exfiltration de données de prendre des mesures difficiles, mais responsables.
« Il s'agit notamment d'obtenir les conseils d'avocats compétents en matière de protection de la vie privée, de mener une enquête sur les données recueillies et d'effectuer les notifications nécessaires qui résultent de cette enquête et de cet avocat. Payer un acteur malveillant ne vous épargne d'aucun des éléments ci-dessus, et étant donné les résultats que nous avons récemment vus, payer un acteur malveillant pour ne pas divulguer des données volées ne présente pratiquement aucun avantage pour la victime. Il peut y avoir d'autres raisons à considérer, telles que les dommages à la marque ou la responsabilité à long terme, et toutes les considérations doivent être prises avant qu'une stratégie ne soit définie ».
Source : rapport Coveware
Et vous ?
Que pensez-vous de la recrudescence des attaques par ransomware ? Êtes-vous surpris par les indications du rapport selon lesquelles les cybercriminels ne suppriment pas nécessairement les données qu'ils ont volées aux entreprises malgré un paiement de rançon ? Que pensez-vous du conseil de Coveware qui estime qu'il ne faut pas payer, mais « obtenir les conseils d'avocats compétents en matière de protection de la vie privée, de mener une enquête sur les données recueillies et d'effectuer les notifications nécessaires qui résultent de cette enquête et de cet avocat » ?Voir aussi :
Des hackers ont extorqué 1,14 M $ à l'Université de Californie après une attaque au ransomware. Le malware a verrouillé des fichiers de recherches stockés dans le réseau de sa faculté de médecine Le géant français de l'informatique Sopra Steria touché par le ransomware Ryuk, qui aurait chiffré des parties de son réseau Une flambée des attaques de ransomware au cours du dernier trimestre, selon une étude de Check Point Les victimes de ransomwares qui paient pourraient se voir infliger de lourdes amendes par l'Oncle Sam, la sanction s'applique même aux sociétés de sécurité et de financement impliquées 
