Depuis 2020, l’exercice est incontournable : suivre les revendications publiées par les enseignes de rançongiciel. C’est à l’émergence de la double-extorsion que l’on doit cela.

Avec elle, les cybercriminels utilisent deux leviers pour faire chanter leurs victimes. Tout d’abord, ils chiffrent et bloquent tout ou partie du système d’information : contre la clé de déchiffrement, ils veulent une rançon. Le paiement de cette dernièrement est également la clé de la non-divulgation publique de données volées avant le déclenchement du chiffrement.

Si la mécanique, bien huilée, est désormais connu, elle soulève régulièrement quelques questions auxquelles nous allons tâcher de répondre.

En 2020, le groupe Egregor a laissé s’écouler 5 jours entre la cyberattaque contre Ouest-France et sa revendication. Début 2024, une dizaine de jours sont passés entre l’attague contre GCA et sa revendication sous le pavillon de RansomHouse.

De tout évidence, non. Au mois de septembre 2023, un nombre important de revendications se rapportaient à des faits bien antérieurs . Mais en mai 2024, avec LockBit, ce fut encore plus marqué : certaines revendications portaient sur des faits remontant à plusieurs mois .

Non, pas vraiment. Se contenter du décompte des revendications des cybercriminels pour estimer le niveau de la menace et son évolution, c’est également oublier le fait qu’il ne constitue qu’un prisme déformant visant, en premier lieu, à servir le narratif des délinquants.

Pas nécessairement. Les relations entre enseignes de ransomware et affidés travaillant avec elles sont devenues très fluides avec le temps. Il est alors apparu de plus en plus évident que certains affidés quittent parfois une enseigne au profit d’une autre, emportant leurs trophées avec eux.

Si une revendication disparaît, est-ce que la victime a payé la rançon ?

Non. L’histoire a montré à plusieurs reprises qu’il n’est pas possible d’affirmer qu’une victime non revendiquée a payé la rançon demandée. De la même manière qu’il n’est pas possible d’affirmer qu’une victime restant épinglée sans que de données ne soient divulguées n’a pas cédé au chantage.

Pour l’affidé, retirer une revendication peut être une tentative de pression renouvelée sur sa victime, un moyen de donner une impression de succès à ses pairs cybercriminels, ou encore de cacher un vol de données insignifiant, notamment.

Il n’est pas exceptionnel non plus qu’une victime demande le retrait de la revendication la concernant durant d’éventuelles négociations.