Ransomware : combien de temps avant que tout ne soit divulgué ?

Le 14 mars 2020, la métropole Aix-Marseille-Provence reconnaissait une cyberattaque « massive et généralisée » par un ransomware, tout en prenant soin de revendiquer des « précautions extrêmes prises au quotidien pour protéger les équipements informatiques et se prémunir des virus et du piratage ».

Quelques jours plus tard, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) publiait un rapport sur le rançongiciel impliqué, Mespinoza/Pysa, ainsi que le mode opératoire des assaillants. Ce n’est que le 28 août suivant que les cyberdélinquants mettront à disposition les données dérobées lors de leur attaque de la collectivité territoriale. Ils auront ainsi attendu 5 mois.

En la matière, Pysa fait presque figure d’exception. Le Danois Vestas a été victime d’une cyberattaque le 19 novembre. Le groupe LockBit a revendiqué l’opération le 5 décembre, soit un peu plus de deux semaines après. Le groupe Adélaïde a été attaqué le 27 novembre par le groupe Entropy, apparu quelques jours plus tôt seulement. Celui-ci a revendiqué l’agression le 1^er décembre.

Les groupes Grief et LV ont déjà revendiqué des victimes sur leurs blogs respectifs immédiatement après avoir lancé la phase ultime de leur attaque. Mais Hive a par exemple laissé près d’un mois à l’Institut technologique de Colombie-Britannique avant de révéler son intervention.

Dans l’édition de novembre de sa synthèse mensuelle sur la menace des ransomwares, Sekoia.io s’est penché sur le décalage entre l’exécution d’une attaque et sa revendication. Et de prendre en exemple une récente victime de Sabbath : quatre écoles publiques du district de Stonington. Ce dernier avait signalé un incident de sécurité le 27 septembre ; la revendication ne sera venue que près de deux mois plus tard.

Dans le cas de Pysa, les équipes de Sekoia.io ont établi un décalage de « 107 jours en moyenne entre le moment de l’intrusion et la revendication publique de l’attaque et son affichage sur le site du groupe ». Et de souligner ainsi que « parmi les 59 campagnes revendiquées le mois dernier [en novembre 2021, N.D.L.R.], 21 auraient été menées en avril, 19 en mai et 9 au mois de juillet ».

Pour Hive, même si cinq victimes « ont eu 4 jours maximum pour négocier avec les attaquants » avant d’être mises à l’index par ceux-ci, le délai moyen « entre le chiffrement et le lancement de la campagne d’extorsion » s’établit à moins de 22 jours.

Mais certains acteurs brouillent les cartes. Bien sûr, il y a les places de marché pour la vente de données issues d’attaques antérieures. Par exemple, des données dérobées à X-Fab ont été mises en vente sur Marketo plus tôt cette année. X-Fab avait attaqué par Maze en 2020, et la victime nous a assuré que les données proposées sur Marketo provenaient de cet incident.

Sabbath a également mentionné le groupe Flagship… attaqué avec Revil/Sodinokibi début novembre 2020, et n’a pas fait état de nouvelle attaque. Mais les cyberdélinquants ont également revendiqué une attaque contre le district scolaire indépendant d’Allen aux États-Unis. Et pour celui-ci, la seule attaque connue remonte à la fin septembre 2021.