Ransomware : Titan, l'enseigne qui utilise l'IA pour analyser les données volées

Suivie depuis le 18 mai, la jeune enseigne Titan n'est associée à la revendication que de sept victimes - dont deux semblent n'être qu'une seule et même entreprise, le groupe CRIT - à date.

L'examen des données présentées comme volées à ces victimes suggère des cyberattaques survenues dans le courant du mois d'avril. Mais il réserve une surprise : toutes ces données sont en effet assorties de rapports d'analyse très vraisemblablement réalisés à l'aide d'un modèle de language.

Le recours à l'IA générative par aider à établir la valeur des données des victimes de cyberattaque est loin d'être, en lui-même, une surprise. Mais il n'en reste pas moins intéressant d'en avoir la démonstration et les traces permettant d'étudier le mode opératoire retenu.

L'enseigne Titan ne s'en cache pas : elle l'affiche. Pour certaines victimes, elle propose directement sur son site vitrine de télécharger le rapport d'analyse des données volées généré par une IA. Pour d'autres, ce rapport d'analyse sert de texte associé à la revendication. Il est manifestement produit en Markdown et aucun effort de conversion en HTML n'a été fait.

Indifférence ? En partie seulement, car ces textes sont clairement construits pour faire pression sur la victime sur son marché domestique : ils sont ainsi rédigés en Italien pour la victime italienne, en Espagnol pour la victime mexicaine, ou encore en Français pour la victime franco-tunisienne. Au menu, estimation d'impact financier de l'incident, mais également recommandations sur la conduite à suivre - par la victime - pour naviguer la crise. Et cela adapté au contexte réglementaire auquel est soumise la victime. En Europe, le RGPD sera ainsi mentionné. Outre-Atlantique, ce sera notamment le risque de poursuites en nom collectif.

Mais ce rapport n'apparaît réalisé sur la base d'une analyse en profondeur, plein texte, des documents volés. Car les données divulguées par Titan sont assorties du fichier texte présentant un résultat de recherche de documents à priori considérés comme sensibles. Des mots-clés précis sont utilisés comme critères pour une recherche simple, sans utilisation d'un modèle de langage, sur les noms de fichiers et dossiers, dans la langue de la victime : "confidentiel", "passeport", "état financier", "paie", "facture", etc.

C'est donc sur la base de ces résultats de recherche que semble généré le prétendu rapport, qui mentionne spécifiquement quelques noms de dossiers et fichiers présents dans ceux-ci, choisis de manière opportuniste pour appuyer un propos qui semble se vouloir délibérément alarmiste.

On relèvera au passage que ces résultats de recherche sont assortis d'une date et d'une heure d'exécution suivant un format qui suggèrent l'utilisation d'un hôte configuré pour les États-Unis ou l'un de leurs territoires, voire les Philippines.

Il ne serait pas surprenant qu'un modèle de la famille Gemma 4 ait été ici mis à contribution : celle-ci a été mise à disposition de tous mi-avril et aucun prétendu rapport d'analyse n'a été produit avant cette date. En outre, les modèles E2B et E4B de la famille pourraient tout à fait suffire à un tel usage, tout en s'exécutant confortablement sur des machines non spécialisées comme le populaire Mac Mini d'Apple.

L'analyse superficielle des fichiers dérobées pourrait néanmoins n'être qu'un début : d'autres fichiers suggèrent des tentatives d'examen plus poussé de fichiers jugés intéressants par les cybercriminels associés à l'enseigne de rançongiciels Titan.