Guides Essentiels

Ransomware : ce que vous apprennent les négociations

Introduction

Malgré ce qu’ils affirment, les « grands noms » de la cyberdélinquance avec ransomware ne se préoccupent qu’assez peu de la confidentialité des échanges avec leurs victimes. Il n’est pas rare que des analystes, des chercheurs et des journalistes réussissent à s’immiscer dans une conversation entre assaillant et victime. L’histoire l’a montré et elle se répète régulièrement. Parfois même, d’autres cybertruands s’invitent dans les échanges pour essayer de couper l’herbe sous le pied de l’attaquant, quitte à ce que cela conduise la victime à passer deux fois à la caisse.

Il faut dire qu’avec plusieurs groupes, les discussions se font essentiellement, voire exclusivement, dans des interfaces Web dédiées, connectées à un backend spécialisé – comparable à un système d’ITSM. Le cas échéant, les cybercriminels sont même capables d’ouvrir de nouveaux salons de discussion en cas de soupçon d’intrusion dans le premier. Nous l’avons constaté avec Ragnar Locker, Conti, ou encore Akira. 

Les détails d’accès au salon de négociation sont fournis dans la note de rançon, déposée après le chiffrement des fichiers sur les machines compromises. Ces détails sont historiquement codés en dur dans l’exécutable de chiffrement : mettre la main sur un échantillon suffit à obtenir ces données. La pratique est historiquement répandue comme le montre le projet ransomch.at. Certains cybercriminels semblent l’avoir bien compris. 

Il n’en reste pas moins que ces échanges s’avèrent généralement éclairants. Ils sont l’occasion d’en apprendre plus sur les dégâts causés par les cyberdélinquants et sur la manière dont ils ont réussi à s’infiltrer dans le système d’information de leur victime. Certains négociateurs donnent d’ailleurs parfois l’impression de faire durer l’échange, même en l’absence de véritable intention de payer, afin simplement d’en apprendre plus sur l’attaque en elle-même, et pouvoir ainsi accélérer l’enquête interne et les efforts de gestion de crise.

Ces discussions font également ressortir toute la diversité des profils d’organisations concernées. Les attaques touchant de grandes organisations sont fréquemment médiatisées, mais beaucoup d’autres ne sont jamais évoquées. Et notamment parce qu’elles concernent des organisations modestes pour lesquelles l’attaque peut s’avérer tragique. À tel point que certaines situations plaident fortement en faveur de la cyberassurance… même si d’autres laissent à s’interroger sur la rigueur de certains souscripteurs.

Les négociations, et en particulier lorsqu’elles aboutissent favorablement pour les cyberdélinquants, peuvent également recéler des informations précieuses sur le paiement. Celles-ci peuvent s’avérer éclairantes sur la santé des activités des cybertruands, jusqu’à parfois permettre de reconstituer un historique de celles-ci et d’estimer les gains des franchises mafieuses.

Une confidentialité promise qui s’avère somme toute assez relative. Capture d’écranUne confidentialité promise qui s’avère somme toute assez relative. Capture d’écran 2021 – Crédit LeMagIT

Télécharger gratuitement ce dossier au format PDF

1Techniques-

Des acteurs parfois très méthodiques

Actualités

Enquête sur la face cachée des ransomwares : les négociations

Certaines organisations cèdent à la pression et l’assument. D’autres préfèrent le mutisme ou espèrent ainsi que la cyberattaque passera inaperçue. Mais les cyberdélinquants se préoccupent peu de ces espoirs de discrétion. Lire la suite

Conseils IT

Ransomware : les mensonges des cybercriminels

Fournir un outil de déchiffrement, des conseils de sécurité, effacer les données volées… ce sont les trois principales promesses des cybercriminels en cas d’attaque avec rançongiciel. Mais les tiennent-ils ? Lire la suite

Conseils IT

Ransomware : ce que recommandent les cybercriminels pour se protéger

Outre le déchiffrement des données et la destruction de celles qui ont été volées, les attaquants fournissent souvent des indications sur leur mode opératoire et des conseils de sécurité. Lesquels méritent une certaine attention. Lire la suite

Conseils IT

Ransomware : des outils de déchiffrement artisanaux

S’il fallait une raison supplémentaire pour ne pas payer les rançons demandées, les outils de déchiffrement la fournissent : artisanaux, ils ne permettent pas de traiter rapidement tout un parc. Lire la suite

Actualités

Ransomware : quand les attaquants détruisent les sauvegardes

Face à la menace des ransomwares, toutes les architectures de sauvegarde ne se valent pas. Plusieurs exemples concrets en ont fait la démonstration. Lire la suite

Conseils IT

Ce que l’on sait des rançongiciels pour VMware ESXi

La menace des ransomwares concerne les infrastructures virtualisées avec l’hyperviseur ESXi de VMware depuis plusieurs années. Qilin vient d’allonger la liste, non sans une certaine originalité. Lire la suite

Conseils IT

Cyberattaques : ces services utilisés pour exfiltrer et récupérer de l’outillage

L’utilisation de services cloud pour l’exfiltration de données et le téléchargement d’outils, avant déclenchement de ransomware s’il y a, est courante. Tour d’horizon des services régulièrement observés lors de cyberattaques. Lire la suite

2Victimes-

Des profils très variés

Actualités

Victimes de LockBit 3.0 : attention à la divulgation des négociations

Le gang mafieux LockBit a levé le voile fin juin sur la version 3.0 de sa vitrine. Celle-ci intègre des fonctionnalités susceptibles d’augmenter le taux de monétisation des cyberattaques. Au programme également : de quoi rendre publiques les négociations. Lire la suite

Actualités

Ransomware : quand les attaquants s’attachent à négocier à huis clos

Historiquement, les victimes de cyberattaque avec ransomware semblaient les plus attachées à la discrétion des échanges avec leurs bourreaux. Des franchises telles que BianLian, Royal et Money Message semblent désormais s’en soucier également. Lire la suite

Opinions

Du GIGN à… la négociation de crises cyber

David Corona, ancien négociateur de crise au GIGN, a cofondé la société In Cognita en novembre 2020. Il met la négociation au cœur de la gestion des crises cyber. Lire la suite

Actualités

Hôpital de Corbeil-Essonnes : une discussion inhabituelle sans négociation perceptible

La divulgation de données volées lors de la cyberattaque contre le centre hospitalier Sud-Francilien a commencé, quand bien même la discussion avec l’assaillant a visé, initialement, à le convaincre de renoncer à son chantage. Lire la suite

Actualités

Ransomware : et si votre prestataire de BPO était votre maillon faible ?

Un fournisseur indien de services d’externalisation de processus métiers a été victime d’un rançongiciel mi-octobre. Il a payé la rançon pour cacher l’incident, notamment auprès de ses partenaires. Quitte à les mettre en danger. Lire la suite

Actualités

Ransomware : ces rançons payées qui plaident en faveur de la cyberassurance

De l’avis général, le paiement des rançons alimente la cybercriminalité. Mais qui paie ? Les victimes de cyberattaques qui comptent sur leur assurance pour supporter le coût de la rançon, ou celles qui ne sont pas assurées ? Lire la suite

3Cyberdélinquants-

Succès, tensions, et ratés

Actualités

Ransomware : ce que les négociations dévoilent des attaquants

Pour l’infiltration et le vol de données, les cyberdélinquants ont des habitudes, de véritables signatures contribuant à l’attribution des attaques. Cela vaut également pour leur manière de conduire les négociations. Exemples. Lire la suite

Conseils IT

Ransomware : dans les coulisses des négociations avec Hunters International

Ce groupe, découvert à l’automne 2023, exploite l’un des sites vitrine les plus sophistiqués de l’écosystème du rançongiciel. Son interface de négociation s’avère encore plus impressionnante, inégalée. Lire la suite

Conseils IT

Ransomware : dans les coulisses des négociations avec Mallox

Les opérateurs de ce rançongiciel utilisent explicitement un chatbot et sont susceptibles d’intervenir à plusieurs dans les échanges. Mais de leur propre aveu, des défauts logiciels fatals pour qui paie en espérant récupérer ses données ne sont pas à exclure. Lire la suite

Conseils IT

Ransomware : liens avec Conti, pratiques… ce que l’on sait d’Akira

Apparue en mars, la franchise Akira apparaît fortement liée à feu Conti et, surtout, de plus en plus active. La rédaction a pu suivre plusieurs négociations impliquant Akira. Plongée dans ses activités. Lire la suite

Actualités

Ransomware : quand MountLocker cachait un Conti

Il est admis qu’un acteur de l’enseigne mafieuse Conti s’est mis à QuantumLocker au printemps 2022. Mais des négociations de l’automne 2020 suggèrent qu’un lien existait déjà à l’automne 2020. Lire la suite

Actualités

Théoriquement intouchables, mais frappés tout de même avec Avaddon

Les raisons de la disparition d’Avaddon ne sont pas connues à ce stade. Peut-être la pression internationale était-elle devenue trop forte pour les opérateurs. À moins que certaines erreurs n’aient commencé à se voir un peu trop. Lire la suite

Actualités

Ransomware : un aperçu des millions collectés par le groupe Conti/Ryuk

Au moins 15 transactions attribuables au groupe Conti/Ryuk sont survenues au mois de septembre. Pour un montant total d’au moins 7 millions de dollars. Une reprise solide après un mois d’août en demi-teinte. Lire la suite

4Glossaire-

Quelques définitions...