terovesalainen - stock.adobe.com
Ransomware : payer pour préserver sa réputation, cette vraie mauvaise idée
Certaines victimes peuvent être tentées de céder au chantage tardivement, une fois que les données leur ayant été volées ont commencé à être divulguées. Mais le faire sans condition peut compromettre encore plus leur réputation.
Profitant de la torpeur estivale, l’enseigne de rançongiciel Akira a procédé à quelques mises à jour sur son site vitrine. À commencer par la mise en place d’une fonction de recherche, qui risque de ne pas plaire à toutes les victimes revendiquées par la franchise mafieuse.
Cette fonction permet de vérifier si une victime est toujours présente dans les listes de celles revendiquées antérieurement et de celles dont les données ont été divulguées.
Un rapide tour d’horizon fait ressortir une évidence : certaines victimes préalablement revendiquées ont disparu de la liste de revendications. D’autres ont disparu des deux listes alors qu’elles avaient antérieurement fait leur apparition dans la liste des victimes dont les données étaient distribuées par les cybercriminels.
Ces disparitions suggèrent des paiements plus ou moins tardifs de rançon. Car le mode opératoire de l’enseigne est bien connu : les victimes du ransomware Akira sont d’abord revendiquées, quelques jours après l’attaque. En cas de refus de paiement, les données qui leur ont été volées avant le déclenchement du chiffrement sont divulguées, via BitTorrent.
Certes, les affidés d’Akira ne revendiquent pas toutes leurs victimes refusant de céder au chantage. Parfois, ils en diffusent directement les données sans revendication préalable. Parfois encore, ils ne revendiquent pas ni ne divulguent les données. Ces derniers cas sont difficiles à quantifier, mais certains ont pu être documentés.
Malgré les encouragements à arrêter d’alimenter les craintes pour la réputation, celles-ci continuent de compter parmi les motivations à payer.
Mais céder tardivement au chantage, en imaginant protéger ainsi sa réputation, peut s’avérer fortement contre-productif : un client, prospect ou partenaire ne sera-t-il pas plus suspicieux s’il remarque que le nom d’une entreprise, une fois épinglée sur le site vitrine d’une franchise de ransomware, en a été supprimé ? Si le déni reste une option dans une telle situation, suffira-t-il à dissiper les doutes et à restaurer la confiance ?
Dès lors, peut-être que les victimes de rançongiciel décidant à contrecœur de payer la rançon tardivement, devraient demander, dans le cadre de la négociation, que leur nom ne soit pas retiré de la moindre liste – même si leurs données ne sont plus effectivement diffusées. Cela pourrait paraître moins louche…
