Théoriquement intouchables, mais frappés tout de même avec Avaddon

En principe, les cyberdélinquants décidant d’utiliser la désormais défunte plateforme RaaS (ransomware-as-a-service) Avaddon ne devaient pas attaquer d’organisations dans la Communauté des États Indépendants (CEI, ou CIS en anglais, pour Commonwealth of Independant States). Manque de chance, cela s’est produit au moins deux fois au mois de mai.

Dans un premier cas, la négociation a commencé comme avec une autre, fin avril. Les attaquants demandaient 300 000 $. Impossible pour la victime : ce montant représentait « trois ans de notre budget », a-t-elle indiqué. Le maximum qu’elle se disait en mesure de payer pour éviter d’avoir à tout restaurer (parce que « cela prendrait trop de temps pour nous »), était : 3 000 $.

Les cybercriminels proposent alors un rabais : 150 000 $. Pour la victime, c’est toujours beaucoup trop : « Vous connaissez notre pays ? Comment une petite entreprise en Arménie peut-elle vous payer 150 000 $ ? Ma maison vaut 15 000 $ ». Étonnamment, cela ne semble pas être la première fois que la victime est confrontée à une telle situation : « la dernière fois, il y a un an, j’ai payé 1 700 $ pour votre clé de déchiffrement ». L’échange semble s’arrêter là-dessus.

Mais après trois jours sans un mot, surprise, les rançonneurs rompent le silence : « contactez-nous si vous voyez cela, il semble que nous ayons une incompréhension ». La victime réagit quelques heures plus tard : « que voulez-vous dire ? ». Réponse : « nous avons découvert que l’une des branches de votre réseau est en Arménie, et notre politique ne nous permet pas de travailler avec les pays du CIS ».

La victime a reçu gratuitement l’outil de déchiffrement. Les truands répondent à plusieurs de ses questions sur la sécurité de son système d’information. Jusqu’à poser une question, trahissant un certain inconfort : « Ok les gars, excusez-nous encore une fois. J’espère que vous n’avez pas signalé ça à la police ? ».

Quelques semaines plus tard, rebelote. Cette fois-ci, la victime engage la conversation en russe et se voit rétorquer : « Bonjour ! Discussion en Anglais ». Mais le négociateur, côté cyber-rançonneurs, semble avoir flairé un lièvre : « d’où êtes-vous ? », demande-t-il. Réponse : Kazakhstan. Un autre pays de la CEI.

Cette fois-ci, il sera demandé à la victime de se prendre en photo à côté d’une pièce d’identité, ainsi qu’une autre de cette dernière avec, en fond, le moniteur d’une machine bloquée par le chiffrement des fichiers. Une heure plus tard, le négociateur d’Avaddon a les pièces en main et confirme : « nous sommes désolés pour cette situation. Nous ne travaillons pas avec les pays du CIS. Vous pouvez télécharger l’outil de déchiffrement ». Gratuitement, donc.