Ransomware : pourquoi le retrait de revendication ne signifie pas le paiement de rançon
Lorsqu’une revendication disparaît du site vitrine d’une franchise de rançongiciel, il est tentant de suspecter qu’un paiement est survenu. Mais c’est négliger l’intérêt des cybercriminels à donner cette impression.
La méthode est désormais bien connue : des cybercriminels conduisent une cyberattaque, s’infiltrant dans un système d’information, y dérobant éventuellement des quantités de données plus ou moins importantes, avant d’en chiffrer certaines – pour ceux qui pratiquent ce que l’on désigne comme « double extorsion ».
On parle là de double extorsion parce que le levier de pression sur la victime est double : perturbation plus ou moins significative de l’activité, doublée de la menace de divulgation des données dérobées.
Pour rendre cette menace plus tangible, les cybercriminels revendiquent leur attaque sur un site vitrine où sont épinglées leurs victimes, après un délai variable, d’une franchise à l’autre, mais également d’un affidé à l’autre. Car les franchises, à l’instar de la bien connue LockBit 3.0, ne sont pas homogènes : c’est l’affidé impliqué dans une attaque conduite avec le ransomware fourni par la franchise qui va faire la différence ; à chacun son mode opératoire.
Ainsi, certains préfèrent laisser deux jours, une semaine, voire plus encore, à leur victime avant de publier la moindre revendication : une sorte de délai de réflexion, en somme. Dans certains cas, comme avec feu-Pysa, le délai pouvait s’avérer encore plus important – de l’ordre de plusieurs mois – coïncidant avec le début de la divulgation. Pendant tout ce temps, les opérateurs de Pysa laissaient la porte ouverte à la négociation.
Parfois, et notamment sur le site vitrine de la franchise LockBit 3.0, mais on l’a observé aussi chez Conti, des revendications disparaissent, que ce soit avant ou juste au moment annoncé de la divulgation des données volées. Pourquoi ?
Ne pas tirer de conclusions hâtives
Lorsque survient un tel événement, la première tentation peut être de soupçonner que la rançon a été payée. Mais rien ne le prouve pour autant. Quelles raisons l’affidé, voire même la franchise, pourrait-il avoir de laisser penser cela si ce n’est pas le cas ?
- Remettre la pression sur la victime. Le paiement de rançon reste un acte extrêmement stigmatisant pour la victime. La simple suggestion qu’une rançon a été payée peut être appréhendée comme une façon d’essayer d’amener (ou ramener) la victime à la table des négociations. Ne serait-ce, par exemple, que pour obtenir la republication de la revendication, assortie, pourquoi pas, d’un petit échantillon anodin de données volées sans véritable valeur.
- Donner l’impression du succès auprès de l’écosystème cybercriminel. Il n’y a rien de pire, pour un affidé, et surtout la franchise avec laquelle il travaille, que de donner l’impression, au reste de l’écosystème cybercriminel, de ne pas réussir à se faire payer. Historiquement, le code de certaines vitrines permettait d’estimer le nombre de victimes et le taux de « succès » des attaquants. Les cybercriminels s’attachent désormais à rendre ces estimations plus difficiles.
- Cacher que le vol de données était insignifiant. Revendiquer un vol de données significatif est une chose. En faire la démonstration en est une autre. Bien sûr, même s’il n’a pas dérobé grand-chose, l’attaquant a tout intérêt à essayer de valoriser son méfait en faisant chanter sa victime, à travers une revendication et une menace de divulgation de données volées. Mais si son butin est maigre, voire ridicule, il a clairement tout intérêt à laisser penser que la rançon a été payée plutôt qu’à dévoiler une main bien peu glorieuse.
Accessoirement, si certains groupes d’attaquants s’attachent à négocier à huis clos, ce n’est pas vraiment le cas de la franchise LockBit 3.0 : la note de rançon déposée lors du chiffrement permet d’accéder à l’espace de négociation, dans une interface Web accessible via Tor. Et cela a conduit à de nombreuses intrusions dans de telles négociations.
Ces intrusions, et les constatations qu’elles ont permises confortent l’éventualité d’un effort pour ramener la victime à la table des négociations : en effet, dans le cadre de négociations, LockBit indique jusqu’à quand il est possible, pour la victime, d’acheter le silence de la franchise et l’outil de déchiffrement ; des échéances qui ne coïncident pas systématiquement avec celles affichées sur le site vitrine.
L’exemple de Coaxis
Ce mardi 9 janvier 2024 au soir, beaucoup surveillaient le site vitrine de la franchise LockBit 3.0, dans l’attente de la divulgation promise de données prétendument volées à l’ESN française Coaxis.
Et là, surprise à l’échéance : la revendication disparaît de la page d’accueil de la vitrine tandis que la page dédiée à la revendication reste accessible, mais n’affiche aucun lien, se contentant d’un peu éloquent « Timer stopped ». Sur LinkedIn, Laurent de Cavel, DPO chez DPO Partage, s’interroge ouvertement : « bluff de la part de LockBit ou paiement de la rançon par Coaxis ? »
Dans le billet de blog promu via son post, il semble hésiter, affirmant ici qu’il « s’est avéré que la menace de fuite de données par le groupe de ransomware LockBit 3.0 était un bluff sophistiqué » ou interrogeant là « Coaxis a-t-elle cédé à leurs exigences en payant la rançon ? ».
En fait, les affidés de LockBit 3.0 sont coutumiers des arrangements, plus ou moins gros, avec la vérité. Les revendications suivent ainsi fréquemment un agenda fantaisiste et fortement variable d’un affidé à l’autre. Certaines revendications sont en outre délibérément mensongères, comme on l’a vu avec celles concernant Darktrace et Thales, notamment.
Accessoirement, les usurpateurs de LockBit 3.0, apparus à l’automne 2022 et toujours actifs, ajoutent encore à la confusion.
Plus généralement, les cybercriminels mentent, pas toujours, mais de manière suffisamment fréquente pour inciter à la prudence. C’est notamment pour cela que la seule surveillance de la publication de leurs revendications ne suffit pas à estimer leur niveau d’activité.
Des indications d’une compromission limitée
Dans le cas de Coaxis, des éléments additionnels partagés par le directeur général de l’ESN, plaident en faveur de la piste du bluff.
Dans un échange avec la rédaction, mi-décembre, Joseph Veigas, directeur général de Coaxis, confirmait l’implication du ransomware de la franchise LockBit 3.0. Surtout, il l’assurait : le volume de données volées avant le déclenchement du chiffrement était « faible » et il ne s’agissait en outre que de « données techniques », liées à l’infrastructure de Coaxis.
Ces indications suggèrent une situation plutôt favorable, avec une machine, certes sensible, sur laquelle des données d’authentification auront été volées. Mais elles suggèrent également la détection de cette activité par un EDR/XDR. De quoi permettre de (plus ou moins) couper l’herbe sous le pied d’un attaquant pressé de passer d’une phase de déplacement latéral – possible à détecter avec les outils et les processus appropriés – à un déclenchement de chiffrement sur un périmètre limité. Peut-être en raison d’une architecture limitant les capacités de déplacement et d’extension du périmètre affecté.
De telles circonstances peuvent aider à la gestion technique de la crise et à la reprise d’activité, mais elles n’évitent ni la nécessaire recherche de systèmes de persistance, éventuellement laissés par l’attaquant, ni un renouvellement d’identifiants techniques – potentiellement cruciaux – généralement laborieux.
Dernier point : la page de revendication de LockBit 3.0. Celle-ci laissait à craindre une diffusion de données volées en sept archives compressées distinctes. Cela a été constaté pour certaines des victimes revendiquées de manière comparable, mais pas toutes.
Pour Hebeler en particulier, les boutons à cliquer pour accéder aux données divulguées renvoient tous vers les mêmes données… mais sur autant de sites miroirs que de boutons. L’infrastructure utilisée est là fournie par la franchise LockBit 3.0 et renvoie aussi à une autre victime : le Pacific Cataract and Laser Institute. Il n’est pas possible d’écarter l’idée que ces deux victimes soient le fait du même acteur malveillant, et que cela vaille également pour Coaxis.