Ransomware : LockBit présente sa nouvelle grille tarifaire

Le temps des âpres négociations conduisant, éventuellement, à une forte révision à la baisse des prétentions des cybercriminels, semble en passe d’être fini pour les victimes de LockBit 3.0. C’est le sens d’un sondage lancé en interne au sein de la franchise avec ses affidés.

L’un d’entre eux et pas des moindres, Bassterlord, affiche son soutien à cette mesure. C’est d’ailleurs lui-même qui a rendu public ce sondage, commentant : « et maintenant, ces entreprises qui arrivent en négociation et demandent 100 000 $ pour une entreprise avec plusieurs milliards de chiffre d’affaires iront se faire… ». Il a notamment revendiqué la récente attaque contre TSMC.

L’idée est donc de fixer un minimum en dessous duquel ne pas accepter de descendre : 3 % du montant du chiffre d’affaires annuel de la victime, avec « une option pour un rabais à 1,5 % ». Et pour les entreprises disposant d’une assurance cyber, interdiction de descendre en dessous de 50 % du maximum couvert par la police pour l’indemnisation des rançons payées. 

Pourquoi de telles mesures ? En raison de « débutants », notamment, qui « acceptent souvent de concéder des rabais jusqu’à 90 % du montant équitable initialement annoncé ». Des pratiques qui « pénalisent » les affidés « qui ont beaucoup d’argent et des nerfs solides », car les négociateurs « pensent que n’importe quel partenaire peut faire une remise de 90 % ». 

Bassterlord affirme que son équipe « suivra désormais une politique de 3 % du chiffre d’affaires » de ses victimes, et rien d’autre, « peu importe comment les négociateurs pourront bêtement insister ». Sinon ? Les données volées avant le chiffrement seront détruites. 

Ce qui, pour certaines victimes disposant de solides sauvegardes hors ligne, peut accessoirement constituer une bonne nouvelle. Pour les autres, Bassterlord illustre : « la dernière fois qu’une société de négociation nous a offert 100 000 dollars, nous avons réaccédé à la victime et supprimé la moitié des données de la société, ce qui a entraîné une perte de données beaucoup plus importante pour la société par la seule faute du négociateur, qui a fini par devoir payer 800 000 dollars ». Et d’ajouter avoir suggéré à LockBit de développer son propre wiper – maliciel effaçant les dispositifs de stockage – pour « punir les négociateurs arrogants ».