Les cybermafieux pourraient bien se faire encore plus pressants, mais aussi plus patients afin de mieux rentabiliser leurs opérations. Avec la clé, de nouvelles tactiques pour faire pression sur les victimes.
Menace principale de 2020, les ransomwares semblent bien partis pour continuer à faire parler d’eux cette année. De nombreux acteurs du monde de la cybersécurité l’anticipent, à l’instar d’Eset, F-Secure, Kaspersky, Netwrix, ou encore Sophos. McAfee estime que la cybercriminalité coûte à l’économie mondiale plus de 1 000 Md $ par an… Pour Group-IB, ce chiffre ne recouvre que les rançongiciels. Et selon ce spécialiste du renseignement sur les menaces, cela ne serait qu’une estimation « prudente ». Mais cela ne signifie pas qu’il ne faut pas s’attendre à des turbulences dans le domaine.
Les opérateurs de ransomwares tels qu’Avaddon, Darkside, Lockbit ou NetWalker fonctionnent en réseau, avec des affiliés, et lancent périodiquement des appels à candidatures. Ils recrutent en particulier des experts, non pas dans l’intrusion, mais dans la compromission des systèmes d’information : des personnes capables de capitaliser sur un accès initial, donc un vecteur d’intrusion déjà exploité, pour remonter jusqu’à un contrôleur de domaine Active Directory pour mettre la main de dessus et, ensuite, pouvoir voler des données, déployer le ransomware, et le déclencher. L’accès initial aura préalablement été acheté à d’autres cyberdélinquants. Les revenus tirés d’une rançon effectivement payée sont alors partagés.
Une résistance de plus en plus visible
Le souci, c’est que lorsque la rançon n’est pas payée, l’affilié qui conduit l’essentiel de l’attaque n’est pas payé non plus… De quoi probablement générer des frustrations, sinon des tensions. Et certains groupes, qui font largement parler d’eux, semblent plus menacés par le phénomène que d’autres.
En ce tout début janvier, on compte plus de 180 victimes sur le site des opérateurs du ransomware Conti, et plus de 150 sur celui d’Egregor. Des trophées, alignés comme une démonstration de force. NetWalker, de son côté, a frappé environ 220 organisations à travers le monde, depuis son apparition au printemps dernier. Mais l’on en connaît 160 qui, donc, n’ont pas payé ! Pour ces cyberdélinquants, le taux de succès tournerait donc autour de 27 %. En somme, NetWalker montre que le ransomware ne fonctionne pas si bien que ça… Il fonctionne juste assez bien pour être attractif.
Avec toutes les victimes qui sont affichées, les cyberdélinquants font la démonstration d’une agressivité certaine et d’une puissance de frappe assez importante. Ils rappellent en outre que de nombreux systèmes d’information sont « vulnérables » et que personne n’est infaillible, gros comme petit.
Mais surtout, les opérateurs de ces ransomwares montrent à tous, en particulier aux affiliés qu’ils essaient de recruter, qu’ils ne sont pas si bons que ça pour monétiser leurs opérations. Chaque nom ajouté à leur site est en fait un aveu d’échec : celui d’avoir marqué, sans réussir à transformer. Et en prime, c’est un exemple de plus susceptible d’encourager à leur tenir tête.
Plus d’efforts pour faire payer
Certains rançonneurs s’accrochent parfois à une négociation plus d’un mois.
Dans ce contexte, il n’est pas surprenant que certains rançonneurs s’accrochent parfois à une négociation plus d’un mois, dans l’espoir – probablement vain – d’en récupérer quelque chose. Ce fut le cas pour Conti avec les Leon Medical Centers outre-Atlantique. De quoi pousser, peut-être, à confier la négociation à un professionnel qui saura faire gagner, à la victime du ransomware, le temps nécessaire pour se remettre sur pieds.
Mais il serait surprenant que les assaillants n’ajustent pas leurs pratiques, quittent à opérer une montée en compétence de leur côté, pour les négociations, afin de relever l’efficacité économique de leurs activités.
Et cela pourrait bien passer aussi par des pressions exercées plus largement. Les opérateurs d’Egregor ont déjà utilisé des imprimantes de caisse pour faire pression sur leur victime. Les opérateurs de Conti, Ryuk ou encore DoppelPaymer jouent aussi le harcèlement téléphonique sur leurs victimes, selon nos confrères de ZDNet. Et puisque les cybercriminels ont accès à des données sensibles, il serait surprenant qu’ils n’en viennent pas à s’adresser directement à des partenaires commerciaux de leurs victimes afin d’augmenter encore la pression sur ces dernières, et les pousser à payer.
De nouveaux acteurs
Et quoi qu’il en soit, l’activité du ransomware promet de continuer de créer des vocations. De nouveaux rançongiciels sont régulièrement découverts, jusqu’à tout récemment, avec Babuk. Ses opérateurs ne semblent pas, à première vue, d’un très haut niveau de sophistication. Ils ont tout juste commencé leurs opérations et affichent déjà quatre victimes, aux États-Unis, en Espagne, outre-Rhin, et en Italie. Ils prévoient d’ouvrir un site Web de présentation de leurs victimes ce 6 janvier. Pour l’instant, ils se contentent de les annoncer sur un forum en ligne.
À l’autre extrémité du spectre, des acteurs soupçonnés d’être à la solde d’États-nations, les fameux APT, semblent aussi prendre le virage du ransomware. Profero et Security Joes estiment qu’il en va ainsi du groupe APT27, considéré comme lié à la Chine. Ce ne serait pas exceptionnel : le groupe TA505 est soupçonné d’être lié au ransomware Cl0p, qui a récemment frappé l’Allemand Software AG. Le groupe Lazarus (Corée du Nord) se serait également engagé dans cette voie.
