Ransomware : les assaillants poursuivent leurs activités agressivement

BlueScope Steel vient d’allonger la liste des victimes de rançongiciel. Nos confrères d’ABC News en Australie évoquent un incident découvert ce jeudi 14 mai au matin. Selon un porte-parole de ce producteur d’acier, de nombreux processus sont temporairement assurés manuellement.

L’entreprise s’est toutefois refusée à confirmer une attaque par ransomware à nos confrères d’IT News. Mais une source tierce l’avait indiqué plus tôt à la rédaction. Compte tenu des pratiques de certains groupes de cyberdélinquants, le risque pour des données commerciales n’est probablement pas négligeable.

L’attaque est hélas loin d’être isolée cette semaine. Outre-Manche, Elexon, qui établit le prix de l’électrique en fonction des écarts entre la production et la consommation, a été lui aussi victime d’une cyberattaque. Pour l’heure, le déclenchement d’un ransomware n’est pas confirmé, mais ce ne serait pas exclure.
Selon nos confrères de ComputerWeekly, certains s’inquiéteraient déjà d’une intrusion via des serveurs VPN Pulse Secure laissés affectés par la vulnérabilité CVE-2019-11510 – un vecteur utilisé notamment par les opérateurs de Revil/Sodinokibi. D’autres industriels de l’énergie en Europe ont récemment fait les frais d’attaques par ransomware : EDP, au Portugal, victime de Ragnar, et la régie locale allemande TWL, touchée quant à elle par Clop.

Récemment, Coveware estimait que Sodinokibi, Ryuk et Phobos étaient ceux qui parvenaient le plus à monétiser leurs forfaits, comme aux troisième et quatrième trimestres 2019. Tant pis pour des Clop, DopplePaymer, Maze, Mespinoza, Nephilim, Netwalker et Sekhmet qui cherchent toutefois à faire régulièrement parler d’eux, menaçant tous de divulguer des données dérobées avant le déclenchement du ransomware et le chiffrement des systèmes de leurs victimes.

Mais un autre acteur, Ako, semble décidé à jouer la « double extorsion », ce que Vitali Kremez, de SentinelOne, appréhende comme une nouvelle tendance : « certains groupes de ransomware exploitent la divulgation publique et l’environnement réglementaire relatif pour brèches pour rémunérer leur procédure de suppression des données volées ». Pour l’une de ses victimes, Ako indique ainsi avoir reçu un paiement de 350 000 $ pour la rançon, mais toujours attendre un « paiement pour l’effacement des fichiers volés ».

Les opérateurs de Revil/Sodinokibi semblent quant à eux bien décidés à continuer d’engranger les gros chèques. Ils indiquent avoir demandé initialement rien moins que 21 M$ au cabinet d’avocats Grubman Shire Meiselas & Sacks, tentant de monnayer des données relatives à de nombreuses célébrités. Mais l’argent n’est pas arrivé. Désormais, les cybertruands promettent de diffuser de nouveaux échantillons de données chaque semaine et demandent… 42 M$. Et d’affirmer que la prochaine personne sur laquelle ils divulgueront des données en l’absence de paiement n’est autre que… Donald Trump, l’actuel président des États-Unis.

Selon une étude Vanson Bourne pour Sophos, payer la rançon ne permet pas de réaliser des économies sur la restauration des systèmes, bien au contraire. Les assaillants semblent avoir entendu le message et miser sur d’autres leviers pour convaincre leurs victimes de céder au chantage.