Ransomware : vers son abandon pour mieux extorquer en toute discrétion ?

En toute fin de mois, le groupe Babuk a annoncé ce qui ressemblait à la fin de ses activités. Mais la situation est plus subtile. En coulisses, le groupe a encore au moins deux victimes dont il essaie d’obtenir le paiement d’une rançon. Et il vient tout juste d’en afficher deux nouvelles. Pas de doute, donc, les affaires continuent pour ce groupe apparu il y a seulement quelques mois.

En fait, pour Babuk et ses opérateurs, il ne semble plus désormais question de chiffrer les systèmes de ses victimes, mais seulement de leur voler des données et de les faire chanter. Dans un billet brièvement publié sur le site caché où le groupe revendique ses faits d’armes, l’information est claire : « nous ne chiffrons plus l’information sur les réseaux. Nous allons vous attraper et prendre vos données. Nous vous en informerons [et] si vous n’entrez pas en contact, nous ferons une annonce ». Et donc, rendre public le fait qu’une attaque est survenue.

Le cas est moins isolé qu’on ne pourrait être tenté de le penser : selon Sophos, 7 % des attaques observées depuis le début de l’année n’ont pas impliqué de chiffrement des données. Sur Twitter, Allan Liska, chez CrowdStrike, estime que le chiffre réel est plus élevé : « le ransomware est difficile ; voler des données et extorquer est facile ». Mais ce n’est pas la seule raison pour laquelle le calcul n’est pas forcément mauvais pour les cybercriminels, comme lorsqu’ils mettent à profit BitLocker ou tout autre outil légitime, mais suffisamment robuste pour empêcher l’accès aux données.

Great discovery by @ddd1ms. From @Sophos' recent ransomware report, "7% said that their data was not encrypted, but they were held to ransom anyway" - this is a trend we have been seeing: ransomware is hard stealing files and extortion is easy. I think real the number is higher. pic.twitter.com/cCYxFnkYnn

— Allan “Ransomware Sommelier” Liska (@uuallan) April 30, 2021

Ainsi, l’absence de logiciel malveillant susceptible de tomber entre les mains d’analystes, de chercheurs, voire de simples journalistes, permet aux cybercriminels d’augmenter la furtivité de leurs opérations et leurs chances de moisson de crypto-brouzoufs avec les entreprises. Des entreprises pour qui payer n’a pas tant pour objet de retrouver l’accès à ses donnés, ni d’en éviter la fuite, que d’empêcher l’ébruitement de l’incident. Durant la gestion de la crise, côté victime, le contrôle des traces s’avère d’ailleurs essentiel.

En l’absence de chiffrement, l’activité peut continuer comme si de rien n’était. Pas de pertes d’exploitation, et pas d’effet visible par les clients et partenaires. Les attaquants n’ont plus qu’à utiliser les leviers de l’image et du cadre réglementaire. Combien de victimes, dans de telles circonstances n'iront pas, même, frapper à la porte de leur assureur, et porter plainte ? 

Mieux encore, les attaquants peuvent là profiter du silence de leur victime initiale pour aller s’intéresser à ses partenaires, ou encore se ménager de nouvelles portes d’entrée, pour revenir plus tard à la charge et faire passer à la caisse une seconde fois une victime qui n’aura pas pris la peine nettoyer en profondeur son système d’information, afin de ne pas susciter la suspicion.

Combien d’organisations n’ayant pas payé la rançon l’auraient-elles fait si l’attaque n’avait pas été révélée dans la presse avant la clôture des négociations ? Combien n’auraient pas payé si la cyberattaque avait été dévoilée, de même qu’un début de dialogue entre les rançonneurs leur victime ? Ces questions restent pleinement ouvertes. Mais il apparaît que certaines organisations ne paient que pour s’assurer une certaine discrétion.

Une chose apparaît toutefois sûre : une furtivité accrue des attaquants constituerait une très mauvaise nouvelle, notamment pour l’observabilité de la menace, avec ce que cela implique pour sa prise en compte par les pouvoirs publics, les assureurs… et les organisations, publiques et privées elles-mêmes, dont la conscience de la menace apparaît encore trop limitée pour revoir leur posture de sécurité.