Ransomware : 0apt, zéro pointé ?

Dans le monde du logiciel, pour ceux qui l’auraient oublié, vendre du vent, c’est verser dans le « vaporware ». La toute jeune enseigne de rançongiciel 0apt semble appliquer le concept au ransomware.

Depuis le 28 janvier, 0apt a revendiqué 190 victimes, avec un pic à 60 victimes pour la seule journée du 30 janvier, puis plus de 50 le 3 février et plus de quarante le lendemain. Impressionnant.

De quoi donner une leçon aux champions du moment, Akira et Qilin. Sauf que pour ces deux-là, des victimes sont connues et confirment les revendications. Au moins certaines, en tout cas, et malgré les délais de déclaration réglementaire et de divulgation des données volées. Pour 0apt, rien de tel.

À ce stade seulement ? L’australien Epworth HealthCare compte parmi les premières victimes revendiquées infirmant les allégations de 0apt. Ransomware.live a décidé de suivre le consensus qui se dégage, ces derniers jours, dans la communauté du renseignement sur les menaces : « le groupe semble peu fiable. La plupart, voire la totalité, de ses victimes présumées ne peuvent être vérifiées et semblent être des organisations choisies au hasard. Nous avons décidé de supprimer les entrées concernant ce groupe ». Ransomlook.io semble avoir adopté la même approche.

Même les cybercriminels semblent dubitatifs.

Selon Databreach, les prétendues données ne sont que des leurres : « les téléchargements sont des flux infinis de données aléatoires, générés à la volée. Il n'y a pas de dossiers contenant des e-mails internes, pas de feuilles de calcul avec les données des clients, ni de numéros de sécurité sociale. Il s'agit d'une arnaque entièrement basée sur du bruit blanc ».

Et, « pire encore, le groupe masque la taille du fichier pour qu'il semble faire des centaines de gigaoctets. Le réseau Tor étant notoirement lent, un analyste peut passer une semaine à télécharger ce qu'il pense être une preuve irréfutable, pour finalement se rendre compte qu'il a passé des jours à capturer une montagne de données binaires inutiles ».

Autant de bruit pour rien ? Peut-être pas. Pour Databreach, « nous assistons à une tendance à la marchandisation des crises de relations publiques. Pour une entreprise du classement Fortune 500, les faits techniques importent souvent moins que les gros titres. Si le nom d'une entreprise apparaît sur un site de fuites à côté d'un lien de téléchargement de 200 Go, le cours de l'action n'attend pas qu'une équipe d'experts vérifie le fichier ».

Et justement, « en ajoutant à sa liste de victimes des noms prestigieux tels que Keysight Technologies, Hologic, Align Technology et The Mayo Clinic, 0apt augmente délibérément les enjeux. Le groupe parie que pour certaines de ces victimes, le risque d'une “véritable” violation est trop élevé pour être ignoré. Il espère qu'un avocat ou un conseil d'administration autorisera un paiement simplement pour retirer leur nom de la liste, payant ainsi une rançon pour des données qui n'ont jamais été volées ».

A moins qu’il ne s’agisse que d’une opération de manipulation du cours des actions en bourse.