Cyber-extorsion : Silent essaie de rançonner sans chiffrer

Connue publiquement depuis ce 23 avril 2025, cette nouvelle enseigne n’a, pour l’heure, revendiqué qu’une seule victime. Sa spécificité : elle ne chiffre pas les données de ses victimes, quitte à ce que certaines peinent à croire à la réalité de l’attaque.

L’enseigne Silent est active depuis au moins le 20 mars 2025. Ses opérateurs se disent « différents » : « notre travail est entièrement basé sur l’anonymat. L’anonymat, c’est-à-dire que personne ne saura que l’entreprise a payé et qu’elle a été attaquée par nous ».

À cette fin, assurent-ils, « les notes sont reçues exclusivement par les responsables informatiques et les chefs d’entreprise, aucun employé n’est au courant du piratage ni d’autres personnes extérieures. Nous chiffrons rarement les systèmes […] Notre tâche principale consiste maintenant à voler les données confidentielles des entreprises. ». 

De quoi rendre l’attaque moins visible des observateurs et aider la victime à garder le silence – comme les craintes d’atteinte à la réputation peuvent l’y encourager.

Silent, le spin-off silencieux de Hunters International

Cette approche avait déjà été tentée en 2022 par Karakurt et RansomHouse. D’aucuns envisageaient une adoption plus large de cette stratégie en 2021. Elle n’a toutefois pas encore eu lieu. Certaines enseignes se sont néanmoins attachées à renforcer la confidentialité de leurs échanges avec leurs victimes.

Tout récemment, Group-IB levait le voile sur un projet des opérateurs de Hunters International baptisé World Leaks et se concentrant sur la simple extorsion avec vol de données. Le nom de Silent semble avoir été retenu à la place. 

Dans un échange avec la rédaction, l’opérateur de Silent confirme : « le nom du groupe ne compte pas vraiment pour nous, mais World Leaks figurait sur notre liste ». Et pour lui, l’enseigne Hunters International est bien arrivée en fin de course.

Mais l’approche de l’extorsion simple sans chiffrement ne va pas sans présenter des inconvénients : « de nombreuses entreprises n’ont pas l’habitude de voir que leur système n’est pas chiffré et pensent donc que nous n’avons pas pu les attaquer et qu’elles peuvent donc ne pas payer ».

En fait, poursuit l’opérateur de Silent, « elles ne comprennent pas que, jusqu’au dernier jour, nous sommes dans leur système et que nous pouvons les attaquer à tout moment. La pratique montre qu’après quelques jours de communication avec nous, les entreprises comprennent que l’essentiel, pour nous, est leurs données ». 

Des victimes à… convaincre qu’elles le sont

Ce qui peut induire des négociations à rallonge : « les entreprises attendent et veulent s’assurer que leurs systèmes sont chiffrés afin de pouvoir payer plus tard. Elles découvrent maintenant que toutes les données ont été téléchargées et que seul le service informatique en a été informé ».

Dès lors, « certaines entreprises tentent de dissimuler le piratage. Ce n’est qu’après avoir discuté et vérifié les données qu’elles commencent à réaliser la gravité du problème ». Un chiffrement est toutefois susceptible de survenir... « en dernier recours », si la victime décide de faire le dos rond et d'ignorer la menace, ou de s'enferrer dans le déni.

Si Silent n’a pour l’heure revendiqué qu’une victime, « bientôt, de grandes entreprises informatiques apparaîtront dans le blog. Elles savent parfaitement combien et quel type de données nous possédons. Mais je pense qu’elles changeront bientôt d’avis en ce qui concerne le paiement ».

Selon nos informations et Ransomlook.io, la seconde victime revendiquée publiquement par l’enseigne Silent devrait être le spécialiste des solutions de SASE (ou Secure Access Service Edge) Versa Networks. Son nom ne figure toutefois pas encore sur le site vitrine de Silent. 

Le service de presse de Versa Networks a été sollicité par nos soins et à confirmé être victime d'une cyberattaque.

Pour approfondir sur Menaces, Ransomwares, DDoS