zephyr_p - stock.adobe.com

Actualites

Ransomware : pour protéger votre réputation, évitez de payer la rançon

Une étude menée par Max Smeets, expert en ransomware, montre que les entreprises qui paient les rançons demandées par les cybercriminels sont plus susceptibles d'attirer l'attention de la presse.

par
Publié le: 16 déc. 2025

Cela peut paraître contre-intuitif, mais les entreprises qui paient des rançons aux cybercriminels dans l'espoir de restaurer leurs systèmes informatiques et de garder l'incident secret risquent de subir une publicité plus négative que celles qui refusent de le faire.

C'est en tout cas ce que suggère une analyse des données saisies par la National Crime Agency (NCA) dans le cadre de l'opération Cronos menée contre l'enseigne LockBit.

Max Smeets, auteur du livre Ransom War, a bénéficié d'un accès supervisé à ces données, et a examiné les données de LockBit qui ont plus récemment fait l'objet d'une fuite.

Max Smeets a comparé les articles de presse portant sur 100 entreprises qui ont payé des rançons à ceux portant sur 100 entreprises qui s'y sont refusées. "Il s'avère que vous avez plus de chances de faire l'objet d'un article si vous avez payé que si vous n'avez pas payé", a-t-il déclaré lors d'un entretien avec Computer Weekly (groupe InformaTechtarget).

Les conclusions de Max Smeets vont à l'encontre des affirmations des gangs de rançongiciels selon lesquelles les entreprises qui paient peuvent éviter une mauvaise publicité. Il appelle cela l'effet Streisand : en payant une rançon pour éviter la publicité, les entreprises finissent par attirer cette même publicité qu'elles tentent d'éviter.

Les forces de l'ordre soutiennent depuis longtemps que les entreprises ne devraient pas payer de rançon, car cela alimente l'écosystème des ransomwares et qu'il n'y a aucune garantie de récupérer ses données.

"Ce que les données suggèrent également, c'est qu'il ne faut pas payer si l'on craint d'être exposé publiquement", estime Max Smeets, qui s'exprimait lors de la conférence sur la sécurité Black Hat à Londres.

L'art de la mauvaise affaire

L'analyse de Max Smeets a également révélé à quel point de nombreuses organisations étaient mal préparées lorsqu'elles ont négocié le paiement des rançons avec les affidés de LockBit.

Certaines entreprises ont dit d'emblée aux groupes criminels qu'elles étaient prêtes à tout pour récupérer leurs données car elles n'avaient pas de sauvegardes, ce qui les mettait immédiatement en position de faiblesse dans les négociations.

D'autres ont tenté en vain de s'attirer la sympathie des pirates en affirmant qu'elles n'avaient pas les moyens de payer la rançon ou qu'elles étaient au service de la communauté locale.

Max Smeets a également constaté que certaines victimes avaient envoyé aux gangs du ransomware des copies de leurs documents d'assurance pour montrer le montant qu'elles pouvaient se permettre de payer.

Ses conclusions montrent que les entreprises doivent être mieux préparées aux négociations si le pire se produit. "Il existe une opportunité majeure, en particulier pour les petites et moyennes entreprises, de mieux comprendre comment s'engager avec ces criminels sans commettre d'erreurs extrêmes et évidentes", estime Max Smeets.

Les organisations criminelles affiliées à LockBit suivent une procédure standard pour négocier le paiement des rançons, qui consiste généralement à demander une première rançon, à proposer de décrypter deux fichiers gratuitement et à menacer de divulguer les données si les organisations ne paient pas.

Max Smeets a constaté que les groupes criminels ont tellement de victimes qu'ils ne passent pas de temps à analyser les données qu'ils leur volent pour rechercher des éléments compromettants susceptibles d'augmenter la valeur d'une demande de rançon - ils s'intéressent davantage à la victime suivante.

Si les entreprises ne paient pas au bout de quelques semaines, les affidés peuvent être enclins à supposer que le manque de désespoir de leur victime signifie que leur attaque avec rançongiciel n'a pas causé beaucoup de dégâts. Ils peuvent être disposés à accepter des paiements moins importants en échange d'un engagement à ne pas publier les données piratées.

Le paradoxe de la confiance

Les enseignes de ransomware comme LockBit trompent et volent, mais elles doivent d'une manière ou d'une autre convaincre les victimes qu'elles sont suffisamment dignes de confiance pour restaurer leurs données en échange du paiement ; la réputation est donc importante.

L'opération Chronos a non seulement détruit l'infrastructure de LockBit, mais aussi entamé considérablement sa réputation. Par exemple, le groupe a déclaré bannir les affidés ayant frappé un hôpital pour enfants à Toronto, ce qu'il n'a pas fait. LockBit a également promis de supprimer les données des victimes de ses serveurs si elles acceptaient de payer, ce qui n'a souvent pas été le cas.

Lorsque des gangs criminels ont tenté de relancer LockBit en décembre 2024, sa réputation avait été irrémédiablement entachée.

Avant l'opération Chronos, entre mai 2022 et février 2022, un nombre très limité d'affidés de LockBit 3.0 a effectivement reçu des paiements. Pour Max Smeets, "LockBit est tellement terni que même s'il peut remettre en place son infrastructure, il n'est plus que l'ombre de lui-même".

Pour approfondir sur Menaces, Ransomwares, DDoS