Ransomware Settra : l'autre enseigne qui utilise l'IA pour analyser les données volées

Suivie depuis la mi-mai, l’enseigne Titan utilise l'intelligence artificielle pour parcourir des noms de fichiers et dossiers sélectionnés suivant des critères de recherche prédéfinis, puis pour rédiger un rapport conçu pour faire peur à la victime. Ledit rapport insiste en effet sur les impacts réglementaires, juridiques et réputationnels potentiels.

Nous l'avions très vite soupçonné, avant que l'enseigne de ransomware en mode service (RaaS) ne le confirme elle-même.

Mais les rapports associés aux revendications de Titan restent assez superficiels. C'est moins vrai pour une autre nouvelle enseigne qui marche directement dans ses pas : Settra. Cette dernière est suivie depuis ce lundi 29 juin, avec des revendications qui semblent avoir été créées, pour les plus anciennes actuellement en ligne, quelques semaines plus tôt.

Là encore, chaque revendication s'accompagne d'une sorte de rapport d'analyse des données volées. Le site vitrine de l'enseigne a fortement l'air d'avoir été « vibe codé ». Mais les rapports sont longs, intègrent des tableaux, des listes, des sections comme aiment les faire les LLMs. Et il apparaît totalement invraisemblable que Settra ait les effectifs pour passer en revue toutes les données et préparer de tels rapports aussi rapidement en en publiant un ou deux par jour, sinon plus.

Mais Settra semble aller plus loin que Titan : ses rapports suggèrent que certains fichiers volés ont été efficacement lus et analysés par l’IA. De quoi légitimement soupçonner que le workflow de production des rapports intègre une étape où l’IA est instruite d’identifier certains fichiers d’intérêt, en se basant sur des critères fournis par l’administrateur de la marque de ransomware, puis de les lire, et d’inclure les fichiers spécifiques d’intérêt dans le rapport.

Que les cas de Titan et de Settra illustrent une nouvelle tendance ou pas, ils mettent en lumière un risque renforcé pour les victimes de rançongiciel. Pendant des années, le risque d'exploitation dommageable des données volées est resté relativement limité, notamment par le volume et par la capacité de téléchargement : leur analyse par des tiers n'était pas nécessaire le risque le plus probable.

Mais avec ces deux enseignes, les assaillants eux-mêmes procèdent à une analyse des données en leur possession, de manière rapide et industrialisée. De quoi, pour eux, identifier, sortir de la botte de foin, et mettre en avant des informations potentiellement dommageables pour la victime, et renforcer ainsi leur pouvoir de pression.