Hardbit 2.0 : la cyberassurance mise à profit (encore une fois)

Varonis vient de publier son analyse de HardBit, un ransomware observé pour la première fois en octobre dernier et arrivé en version 2.0 fin novembre. 

Dans un billet de blog, Jason Hill – chercheur en sécurité chez Varonis – explique que les cybercriminels employant HardBit affirment voler des données sensibles à leurs victimes avant de déclencher le chiffrement, décorant les fichiers affectés d’un logo rappelant sensiblement celui de LockBit 2.0. 

La technique est désormais bien connue avec les franchises de rançongiciel pratiquant la double-extorsion : si la victime refuse de payer, elle n’obtient pas les outils nécessaires au déchiffrement de ses données et s’expose à la divulgation et/ou la revente de celles qui ont été volées avant le déclenchement du chiffrement. 

Pour autant, la franchise HardBit n’apparaît pas disposer, pour l’heure, de site vitrine où épingler ses victimes comme autant de trophées de chasse et divulguer, plus ou moins vite, leurs données. 

La note de rançon déposée à l’occasion du chiffrement invite les victimes à engager des négociations via la messagerie instantanée Tox ou par courriel. 

Marque d’un opportunisme certain, la note en question fait également référence aux contrats de cyberassurance : « les compagnies d’assurance exigent de vous que vous conserviez vos informations d’assurance secrètes. C’est pour ne jamais payer le montant maximum spécifié au contrat, voire ne rien payer ». Ce qui aurait pour effet, selon les cybercriminels, de « perturber les négociations ». D’ailleurs, selon eux, les compagnies d’assurance « vont essayer de faire échouer les négociations ».

Au final, selon les assaillants, pour se prémunir de toute supposée fourberie de son assureur, il serait préférable de les informer de manière anonyme « de la disponibilité et des termes de la couverture assurantielle ». Et de présenter cela comme une approche gagnant-gagnant. 

L’utilisation de contrats d’assurance cyber, dans le cadre de négociations lors des cyberattaques avec ransomware, n’est pas quelque chose de nouveau. Nous l’avons observé à plusieurs reprises avec des victimes de la franchise mafieuse Conti.

La différence est que les membres de Conti n’hésitaient pas à chercher eux-mêmes d’éventuelles copies de contrats de cyberassurance dans les données volées à leurs victimes. 

L’approche adoptée par les cybercriminels déployant le ransomware HardBit 2.0 interroge tant sur leurs capacités effectives d’exfiltration de données que sur les compétences linguistiques.