Pendant longtemps, les négociations entre les entreprises victimes de ransomware et leurs assaillants sont restées secrètes. Mais, depuis la fin de 2019, une nouvelle tendance s’est développée : après avoir bloqué les machines d’une entreprise et volé leurs données, les pirates détaillent leurs forfaits sur des sites Internet public. Afin de mettre une jolie pression aux sociétés visées.
Les stratégies des pirates utilisant les ransomware et visant des grosses entreprises continuent d’évoluer. Pendant longtemps, ils se contentaient de bloquer les ordinateurs et de demander une rançon pour les débloquer.
Quand un ransomware se double d’une fuite de données
Plus récemment, ils ont commencé à voler une foule de données sur les machines des entreprises visées avant de les bloquer. Histoire de disposer d’un moyen de pression supplémentaire.
Ne plus pouvoir utiliser ses ordinateurs est déjà pénalisant, mais se retrouver avec, en plus, une fuite de données d’importance sur le dos peut se transformer en catastrophe pour une grande entreprise. Notamment dans l’Union Européenne, puisque le RGPD prévoit de fortes amendes pour les sociétés ne protégeant pas assez bien leurs données…
Créer un site Internet public pour y lister les entreprises attaquées
Mais les pirates ont encore ajouté une corde à leur arc, dévoilée par une enquête de nos collègues de Zdnet.fr. De plus en plus de groupes décident ainsi de rendre public la liste des entreprises actuellement visées par un ransomware, avec un petit échantillon des données volées. Un échantillon qui peut se transformer en véritable catalogue si les entreprises n’allongent pas la monnaie.
Et pour ce faire, les pirates ont choisi la méthode la plus simple : créer un site Internet public, classique, accessible à tous. Et y pratiquer, en toute décontraction, un « name and shame » virulent.
Maze, les pionniers du « name and shame »
Les pionniers, en la matière, sont le groupes de cyber-criminels Maze, qui ont ouverts un site public fin 2019. La page d’accueil présente deux grandes sections. A gauche, les « Nouveaux Clients », à savoir les sociétés récemment infectées et bloquées par Maze, et en pleine négociation sur une rançon. A droite les « Full Dump », qui offre des liens vers les données volées aux entreprises ayant refusé de payer.
Ce modèle a, très vite, été imité : « Maze a été le premier groupe à lancer un site web public, mais d’autres groupes ont rapidement copié cette stratégie de « name and shame ». On peut par exemple citer les opérateurs du ransomware Doppelpaymer, qui ont publié des données appartenant à Tesla, SpaceX et General Dynamics récemment », détaille Brett Callow, analyste chez Emsisoft. D’autres groupes de cyber-criminels ont suivi, comme Revil/Sodinokibi ou Nemty.
Un moyen de pression supplémentaire
Mieux (ou pire) : ces sites permettent de suivre, au jour le jour, les avancées d’une affaire de ransomware. Une page « Nouveau Client » qui disparaît brutalement, et ne réapparait pas ? La société a décidé de payer. Des données ajoutées à la page ? L’entreprise n’a pas payé, et les pirates veulent lui mettre la pression. Une bascule de « Nouveau Client » vers « Full Dump » ? L’entreprise n’a pas cédé et se retrouve avec une fuite de données sur le dos.
Une bonne façon, également, de contraindre les sociétés à payer : être dans l’oeil d’un tel cyclone ne plait pas trop aux responsables de grands groupes internationaux…
Comment ces sites peuvent-ils rester en ligne ?
Cependant, il demeure assez étonnant que des tels sites restent en ligne sans être inquiétés, à l’heure où la guerre contre le streaming illégal permet des fermetures rapides de sites.
« Il y a plusieurs choses qui peuvent permettre à un site de ce genre de rester en ligne. Les attaquants peuvent par exemple avoir recours à un hébergeur qui refuse de prendre en compte les demandes des autorités, souvent des sociétés basées dans des pays qui disposent d’une législation assez permissive. Ces hébergeurs sont généralement désignés sous le terme d’hébergeur « bulletproof » », explique Max Kersten, chercheur en sécurité néerlandais.
Arme de dissuasion
Autre soucis : « C’est parfois délicat de prouver que votre marque est impliquée. Ils diffusent des fichiers, mais vous devez prouver que ce sont bien vos fichiers. Et en faisant cela, vous admettez publiquement que vous avez été piraté, ce que toutes les entreprises ne sont pas prêtes à faire », précise Max Kersten.
Les groupes de pirate utilisent également la bonne vieille technique de l’arme de dissuasion. Si une société fait fermer leur site public, les pirates peuvent répliquer : « la première version du site de Maze a été mise hors ligne suite aux actions en justice d’une victime, la société SouthWire. Ils avaient obtenu une injonction judiciaire contre l’hébergeur du site. Le groupe Maze a donc remis en ligne deux nouveaux sites web (la redondance !) et a publié 10 % des données de Southwire sur un forum russe en ajoutant en commentaire « utilisez ces données pour faire autant de mal que vous pouvez », raconte Brett Callow.
Autant dire que, depuis, les entreprises hésitent à deux fois avant de vouloir fermer le site de pirates ayant pris le contrôle de leur système informatique… Autant de nouvelles méthodes qui donnent un avantage considérable aux assaillants. Et pousse, sans doute, un nombre croissant d’entreprises à payer.