D'ailleurs, le fournisseur en solution de sécurité Sophos lui a consacré un billet dans lequel il a indiqué que le ransomware dispose d'une spécificité de déploiement permettant de s'installer en tant que machine virtuelle sur un système cible.
En avril dernier, le poids lourd portugais de l'énergie EDP (Energias de Portugal) en avait fait les frais : des cybercriminels sont parvenus à accéder à 10 To de données sensibles et une rançon de 1580 bitcoins avait alors été demandée. Jusqu'alors, les opérateurs derrière Ragnar Locker se servaient d'un exploit dans les connexions Windows RDP (Remote Desktop Protocol, un protocole qui permet à un utilisateur de se connecter sur un serveur exécutant Microsoft Terminal Services) afin de compromettre la sécurité réseau et exfiltrer des données. Ils sont parvenus à obtenir des privilèges administrateurs en utilisant des outils et des commandes Powershell et en manipulant les stratégies de groupe, ces fonctions de gestion centralisée de la famille Microsoft Windows qui permettent la gestion des ordinateurs et des utilisateurs dans un environnement Active Directory.
Cette fois-ci, Campari Group, la société italienne évoluant dans le marché des alcools, a été la cible d'une de ses attaques et 2 To de fichiers non chiffrés auraient été volés. Pour récupérer leurs fichiers, les opérateurs derrière Ragnar Locker réclament 15 millions de dollars. Campari Group est une société italienne connue pour ses marques d'alcools populaires, notamment Campari, Frangelico, SKYY vodka, Epsolon, Wild Turkey et Grand Marnier.
L'attaque a été perpétrée le dimanche 1er novembre 2020 et Campari a publié un communiqué de presse lundi dans lequel ils ont déclaré avoir subi une cyberattaque au cours du week-end, ce qui les a amenés à fermer leurs services informatiques et leur réseau :
« Campari Group informe que, vraisemblablement le 1er novembre 2020, il a fait l'objet d'une attaque de malware (virus informatique), qui a été rapidement identifiée. Le service informatique du Groupe, avec le soutien d'experts en sécurité informatique, a immédiatement pris des mesures pour limiter la propagation des logiciels malveillants dans les données et les systèmes. Par conséquent, la société a mis en place une suspension temporaire des services informatiques, car certains systèmes ont été isolés afin de permettre leur désinfection et leur redémarrage progressif dans des conditions de sécurité pour une restauration rapide des opérations ordinaires ».
Un chercheur en sécurité répondant au pseudonyme Pancak3 a pu consulter la note de demande de rançon et obtenir un échantillon du logiciel malveillant qui montre clairement que c'est bien Ragnar Locker qui a été utilisé dans l'attaque contre le groupe Campari.
Dans la note de demande de rançon, les opérateurs derrière Ragnar Locker affirment avoir volé 2 To de fichiers non chiffrés lors de l'attaque, y compris des relevés bancaires, des documents, des accords contractuels, des e-mails, etc. :
Nous avons BRISÉ votre périmètre de sécurité et avons accès à tous les serveurs du réseau de l'entreprise dans différents pays à travers tous vos bureaux internationaux. Nous avons donc TÉLÉCHARGÉ plus de 2 To de volume total de vos données PRIVÉES SENSIBLES, y compris:
- Fichiers comptables, relevés bancaires, lettres gouvernementales, certificats de licence
- Informations commerciales confidentielles et/ou exclusives, accords de célébrités, Informations personnelles des clients et employés (y compris les numéros de sécurité sociale, adresses, numéros de téléphone, etc.)
- Accords d'entreprise et contrats avec des distributeurs, importateurs, détaillants, accords de non-divulgation
- Nous détenons également votre correspondance privée d'entreprise, vos courriels et vos classeurs, vos présentations marketing, vos rapports d'audit et beaucoup d'autres informations sensibles.
Pour prouver qu'ils ont effectivement volé des données, la note de rançon contient huit URL vers des captures d'écran de certaines des données volées. Ces captures d'écran concernent des documents sensibles, tels que des relevés bancaires, un passeport britannique, les formulaires fiscaux W-4 des employés américains, une feuille de calcul contenant les SSN et un accord de confidentialité.
Pancak3 a déclaré que Ragnar Locker prétend avoir chiffré la plupart des serveurs du groupe Campari dans vingt-quatre pays et réclame 15 millions de dollars en bitcoins pour leur communiquer un décrypteur. Ce prix comprend également une promesse de supprimer les données de leurs serveurs de fichiers et de ne pas publier ou partager les données, ainsi qu'un rapport de pénétration du réseau et des recommandations pour améliorer la sécurité.
Il convient de noter que, selon un rapport de Coveware publié cette semaine, les opérateurs derrière les ransomwares ne suppriment pas toujours les données volées aux entreprises qui ont payé des rançons.
Le même rapport indique que près de 50 % des attaques par ransomware incluaient la menace de publier des données volées par les opérateurs. La menace de publier des données volées a été utilisée comme le déclencheur du paiement de la rançon. Auparavant, lorsqu'une victime de ransomware disposait de sauvegardes adéquates, elle se contentait de restaurer ses systèmes et de continuer sa vie; il n'y avait aucune raison d'amorcer le dialogue avec les cybercriminels. Désormais, lorsqu'un acteur malveillant vole des données, une entreprise avec des sauvegardes qui peuvent être restaurées sans encombre est souvent obligée d'engager au moins le dialogue avec les cybercriminels pour déterminer quelles données ont été prises.
Coveware pense que nous avons atteint un point de basculement avec la tactique d'exfiltration de données. Bien que certaines entreprises aient choisi de payer les acteurs malveillants afin qu'ils ne divulguent pas les données volées, Coveware a vu s'effilocher les promesses des cybercriminels de supprimer les données une fois la rançon payée. La liste ci-dessous comprend les groupes de ransomwares qui ont fait du chantage publiquement à leurs victimes après qu'elles aient payé une rançon, ou qui ont demandé un deuxième paiement à une entreprise qui avait précédemment payé pour que les données soient supprimées / non divulguées:
- Sodinokibi : les victimes qui ont payé ont été extorquées à nouveau des semaines plus tard avec des menaces de publier le même ensemble de données.
- Netwalker : les données volées à des entreprises qui ont payé pour qu'elles ne soient pas divulguées ont quand même été publiées sur un site.
- Mespinoza : les données volées à des entreprises qui ont payé pour qu'elles ne soient pas divulguées ont quand même été publiées sur un site.
- Conti : les opérateurs ont présenté de faux fichiers qu'ils ont supprimés comme preuve de bonne foi (les vrais fichiers étaient donc toujours en leur possession).
Bien que les victimes puissent estimer qu’il existe des raisons valables de payer pour empêcher le partage public de données volées, la politique de Coveware est de conseiller aux victimes de s’attendre à ce qui suit si elles choisissent de payer :
- Les données ne seront pas supprimées de manière crédible. Les victimes doivent supposer qu'elles seront communiquées à d'autres acteurs malveillants, vendues ou détenues pour une deuxième / future tentative d'extorsion.
- Le/les opérateur(s) qui a/ont conservé des données volées ne les avaient pas nécessairement gardés en sécurité. Même s'ils venaient à supprimer un volume de données à la suite d'un paiement, d'autres parties qui y ont eu accès peuvent en avoir fait des copies afin de pouvoir extorquer la victime à l'avenir.
- Les données peuvent être publiées de toute façon par erreur ou exprès avant qu'une victime ne puisse même répondre à une tentative d'extorsion.
Contrairement à la négociation d'une clé de déchiffrement, la négociation de la suppression des données volées n'a pas de réelle fin. Une fois qu'une victime reçoit une clé de déchiffrement, elle ne peut pas lui être enlevée et ne se dégrade pas avec le temps. Avec des données volées, un acteur malveillant peut revenir pour obtenir un deuxième paiement à tout moment dans le futur. Aussi, Coveware conseille à toutes les victimes d'exfiltration de données de prendre des mesures difficiles, mais responsables.
« Il s'agit notamment d'obtenir les conseils d'avocats compétents en matière de protection de la vie privée, de mener une enquête sur les données recueillies et d'effectuer les notifications nécessaires qui résultent de cette enquête et de cet avocat. Payer un acteur malveillant ne vous épargne d'aucun des éléments ci-dessus, et étant donné les résultats que nous avons récemment vus, payer un acteur malveillant pour ne pas divulguer des données volées ne présente pratiquement aucun avantage pour la victime. Il peut y avoir d'autres raisons à considérer, telles que les dommages à la marque ou la responsabilité à long terme, et toutes les considérations doivent être prises avant qu'une stratégie ne soit définie ».
Sources : communiqué de Campari, Pancak3
Voir aussi :
Les opérateurs derrière les ransomwares ne suppriment pas toujours les données volées aux entreprises qui ont payé des rançons, selon un rapport de Coveware
Des hackers ont extorqué 1,14 M $ à l'Université de Californie après une attaque au ransomware. Le malware a verrouillé des fichiers de recherches stockés dans le réseau de sa faculté de médecine
Le géant français de l'informatique Sopra Steria touché par le ransomware Ryuk, qui aurait chiffré des parties de son réseau
Une flambée des attaques de ransomware au cours du dernier trimestre, selon une étude de Check Point
Les victimes de ransomwares qui paient pourraient se voir infliger de lourdes amendes par l'Oncle Sam, la sanction s'applique même aux sociétés de sécurité et de financement impliquées