
pepebaeza - Fotolia
Ransomware : bienvenue dans l’ère des vraies-fausses cyberattaques
Les acteurs malveillants prétendant avoir conduit des cyberattaques se multiplient, formulant des revendications fantaisistes ou cherchant à extorquer des organisations en recyclant des données volées préalablement par d’autres.
Le CERT-IN vient de rendre public son rapport sur la menace des rançongiciels pour 2024. Dans ce dernier, le CERT national indien lance une alerte : « les groupes de ransomware emploient de plus en plus de tactiques trompeuses pour pousser les victimes à payer des rançons, même lorsqu’il n’y a pas eu d’exfiltration de données ou d’attaque ».
Et d’illustrer : « des groupes comme Basche [aussi suivi sous la référence apt 73, N.D.L.R.] s’approvisionnent en données ayant déjà fait l’objet d’une violation ou créent de faux ensembles de données qu’ils affichent sur leurs sites de fuites de données, en prétendant faussement qu’il y a eu une attaque afin d’extorquer le paiement d’une rançon ».
Ce n’est pas tout : « ils peuvent également proposer les prétendues données à la vente, contraignant les victimes à payer en leur faisant croire que leurs informations ont été compromises, même si aucune violation n’a eu lieu dans le cadre de cette campagne particulière ».
Recyclages et revendications croisées
Le cas d’apt 73 est particulier. Six revendications concernant des victimes préalablement revendiquées chez Black Basta sont apparues sur sa vitrine à l’automne dernier. Là, selon un fin connaisseur de l’écosystème cybercriminel lié aux rançongiciels, « l’explication la plus simple est qu’un affidé Black Basta faisant partie d’Apt73 s’en soit chargé ». Et de souligner qu’une vitrine n’est finalement qu’un portfolio. Un portfolio pour chacun des acteurs ayant participé à une attaque.
Pour autant, l’analyse du CERT-IN est confortée par les constatations. L’enseigne Snatch, par exemple, joue clairement un rôle de plateforme de diffusion de données volées lors de cyberattaques menées par des tiers, et parfois bien antérieurement. Cette lessiveuse a notamment été utilisée 7 fois, l’an dernier, par un acteur œuvrant sous la bannière de Nokoyawa. Mais un ou des affidés des enseignes LockBit, Medusa, 8base, Alphv, Dragonforce ou encore Cactus y ont également eu recours.
Il convient de mettre de côté les revendications croisées – ou cross-claims en anglais – qui témoignent essentiellement d’une cyberattaque conduite par un même acteur utilisant deux bannières pour mener ses activités : les franchises de ransomware sont de plus en plus utilisées comme de simples marques, des écrans de fumée derrière lesquels se cachent les affidés. L’an dernier, Anastasia Sentsova, analyste chez Analyst1, s’est penchée sur le sujet dans le cadre d’une enquête sur RansomHouse.
Épingler une fausse victime pour se faire mousser
Il faut aussi compter avec les revendications mensongères. À l’automne 2021, l’enseigne LockBit avait, par exemple, revendiqué des cyberattaques contre plusieurs clients du Danois Vestas, avant de le désigner explicitement. De quoi gonfler ses chiffres tout en essayant de renforcer la pression sur la véritable victime.
Quelques mois plus tard, l’histoire se répétait, un affidé LockBit revendiquant une attaque contre le ministère de la Justice, alors que sa victime n’était qu’un cabinet d’avocats du Calvados. Et l’histoire se répétera avec une revendication d’attaque contre Thales.
En juin 2024, même approche avec la revendication d’une attaque contre la Réserve fédérale américaine… alors qu’une seule banque avait été effectivement touchée. Plus récemment, l’enseigne Space Bears a été utilisée pour revendiquer une cyberattaque contre Atos. Une allégation aussitôt réfutée par l’intéressé : « Atos comprend que l’infrastructure externe d’une tierce partie, non connectée à Atos, a été compromise par le groupe Space Bears ».
Début 2025, ThreeAM a revendiqué une cyberattaque contre Leonardo. Sa véritable victime semble avoir été Rotorsim, une coentreprise de Leonardo Helicopters et CAE créée en 2003 pour « proposer des solutions de formation synthétique aux exploitants d’hélicoptères AW109 et AW139 ».
Usurpations d’identités entre amis
Mais il y a plus. Selon Barracuda, des arnaqueurs ont récemment commencé à usurper l’identité du redouté Cl0p, profitant de sa renommée pour tenter de soutirer de l’argent à des victimes potentielles. L’identité du groupe BianLian avait précédemment été ainsi détournée également. Le FBI a lui-même alerté sur cette menace.
Les cybercriminels ne sont eux-mêmes pas à l’abri de telles arnaques basées sur l’usurpation de l’identité d’enseignes de ransomware bien connues. Récemment, un certain « Zen7up » est apparu sur X (anciennement Twitter) partageant une vidéo à la gloire de LockBit. Une véritable opération séduction pour affidés en puissance. Laquelle cachait en fait une arnaque visant à piéger des cybercriminels en soif de gloire et de gains faciles.