Les ransomwares à double extorsion montent en puissance : ils impliquent que les cybercriminels collectent les fichiers avant de les crypter

Puis menacent de divulguer des informations sensibles

Les ransomwares à double extorsion montent en puissance, ils impliquent que les cybercriminels collectent les fichiers avant de les crypter, puis menacent de divulguer des informations sensibles

L'utilisation répandue des ransomwares est désormais bien connue, mais les chercheurs de Rapid7 se sont penchés sur la montée d'un phénomène plus récent, la "double extorsion".

Lancée par le groupe ransomware Maze, la double extorsion implique que les cybercriminels collectent les fichiers avant de les crypter. Puis, si l'organisation cible refuse de payer, ils menacent de divulguer des informations sensibles.

Les chercheurs pensent que l'adoption croissante des sauvegardes comme l'une des meilleures lignes de défense contre le cryptage des fichiers par les ransomwares a probablement influencé cette tendance. Les sauvegardes permettent aux victimes de restaurer leurs fichiers sans payer de rançon, mais elles ne les protègent pas de la pression coercitive exercée par la divulgation des données dans le cadre de la double extorsion.

"Ils vous frappent avec un ransomware, puis ils ont un tas de fichiers qu'ils ont volés", explique Erick Galinkin, chercheur principal en intelligence artificielle chez Rapid7. " Et si vous dites : 'Nous avons des sauvegardes, nous n'allons pas vous payer'. Ils répondent : "Nous avons tout cela et nous sommes heureux de le divulguer au monde si vous ne voulez pas payer". Certains de ces fichiers volés sont rendus publics et il est presque toujours possible de payer la rançon avant que d'autres données ne soient divulguées. Ils font cette première divulgation de données et disent : "Nous allons vous donner un peu plus de temps, maintenant que nous avons prouvé que nous sommes en possession de ces données, avant de publier tout ce que nous vous avons pris". L'intention est de faire pression sur les entreprises pour qu'elles paient."


Les analystes de Rapid7 ont enquêté sur 161 divulgations de données distinctes entre avril 2020 et février 2022. Le groupe ransomware Maze, aujourd'hui disparu, était le chef de file de la double tactique d'extorsion en 2020, représentant 30 % des 94 incidents signalés entre avril et décembre 2020. Cette "part de marché" est remarquable puisque Maze n'a été actif que pendant 10 mois sur 12 cette année-là avant de s'éteindre début novembre 2020. Les autres principaux groupes de ransomware ayant divulgué des données cette année-là sont REvil/Sodinokibi (19 %), Conti (14 %) et NetWalker (12 %).

Les données financières sont les plus souvent divulguées (63 %), suivies des données des clients/patients (48 %). La propriété intellectuelle est rarement divulguée en général (12 %), sauf dans le secteur pharmaceutique, où elle a été incluse dans 43 % des divulgations étudiées.

Source : Rapid7

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

83 % des attaques réussies par des ransomwares incluent désormais d'autres méthodes d'extorsion, la double et triple extorsion a gagné en popularité au cours des 12 derniers mois, selon Venafi

Une double et une triple exploitation ont été effectuées dans 83 % des tentatives efficaces de ransomwares, le chantage se poursuit même après le paiement de la rançon, selon Venafi

Les paiements de ransomware sont montés en flèche en 2021, près de 80 % ont atteint un maximum de 500 000 dollars, tandis que les demandes de rançon ont augmenté de 144 %

Les sauvegardes granulaires et en temps réel sont essentielles pour se remettre d'un ransomware, cependant, seule une entreprise sur sept déclare protéger plus de 90 % de ses applications critiques