Ransomware : et si votre prestataire de BPO était votre maillon faible ?

Le premier contact avec les assaillants est établi le 21 octobre. Mais ceux-ci étaient déjà, dans le système d’information de la victime, depuis environ une semaine. Eux, ce sont les opérateurs de l’un de ces ransomwares bien connus pour la pratique de la double extorsion. Comme il se doit, ils ont pris le temps de dérober des données à l’occasion de leur séjour dans le système d’information de leur victime : plus de 500 Go. Leur victime : un fournisseur de services d’externalisation de processus métiers (BPO) indien.

Nous avons pu suivre la négociation. Les assaillants lui réclamaient initialement 9 M$. « Ce prix est très élevé pour nous », a tout de suite répondu la victime. Ce à quoi les cybertruands ont fait valoir que cela reste « bien moins cher que payer toutes les poursuites que vos clients vont engager contre vous ».

Faisait référence à la Covid-19 et à d’autres crises plus régionales, la victime, apparemment déterminée à payer, essaie d’obtenir un rabais. Première tentative : 900 000 $. Réponse du « chargé de support » des cyberdélinquants : cette somme « est considérée comme une insulte par mes patrons ». Petit à petit, la victime relèvera son offre : 1,8 M$ pour commencer, puis 2,35 M$… et enfin : « notre conseil d’administration est impatient d’en finir avec ça et a approuvé 3,1 M$ ».
Puis ce sera au tour des assaillants de revoir leurs ambitions à la baisse, à 5 M$. Un accord sera finalement trouvé, tout début novembre, autour de 4 M$. Nous avons pu vérifier que la transaction, en bitcoins, a bien eu lieu. Moins d’une heure après le paiement, les assaillants avaient déjà transféré les fonds ailleurs.

Bien sûr, les assaillants ont promis qu’ils ne publieront pas de copie des données volées, et qu’ils n’en ont pas gardé pour eux. Ils proposent même un rapport de brèche pour ce mardi 10 novembre – qui n’était pas encore là lorsque nous avons consulté la conversation pour la dernière fois.

Nous avons choisi de ne pas publier de captures d’écran, ni de préciser la famille de ransomware, ni le nom de la victime, ni encore les secteurs d’activité de ses clients, afin d’éviter de renforcer la menace pesant sur ces derniers.

Car rien ne dit que les assaillants n’ont pas profité de leur promenade dans le système d’information de ce prestataire de BPO pour trouver des accès aux systèmes d’information de ses clients, ou que d’autres ne le feront pas. C’est aujourd’hui le risque principal, tout comme la menace que fait peser la victime sur son écosystème complet de partenaires. Et elle n’est peut-être pas la seule. Nous avons prévenu les autorités concernées.

« Pour beaucoup, la tendance risque fort d’être à “gérer” le problème, à savoir boucher les trous et ne rien dire. »

Il pourrait être tentant de minimiser le risque. Un fin connaisseur indien du BPO dans le pays – qui a préféré rester anonyme pour nous répondre – souligne d’ailleurs que le choix de prévenir ses partenaires ou de cacher l’incident « dépendra complètement de la valeur des systèmes et de la culture de l’entreprise ». Toutefois, « pour beaucoup, la tendance risque fort d’être à “gérer” le problème, à savoir boucher les trous et ne rien dire ».