Guides Essentiels

Ransomware : ce que vous apprennent les négociations

Introduction

Malgré ce qu’ils affirment, les « grands noms » de la cyberdélinquance avec ransomware ne se préoccupent guère de la confidentialité des échanges avec leurs victimes. Il n’est pas rare que des analystes, des chercheurs et des journalistes réussissent à s’immiscer dans une conversation entre assaillant et victime. L’histoire l’a montré et elle se répète régulièrement. Parfois même, d’autres cybertruands s’invitent dans les échanges pour essayer de couper l’herbe sous le pied de l’attaquant, quitte à ce que cela conduise la victime à passer deux fois à la caisse.

Mais ces échanges s’avèrent généralement éclairants. Ils sont l’occasion d’en apprendre plus sur les dégâts causés par les cyberdélinquants et sur la manière dont ils ont réussi à s’infiltrer dans le système d’information de leur victime. Certains négociateurs donnent d’ailleurs parfois l’impression de faire durer l’échange, même en l’absence de véritable intention de payer, afin simplement d’en apprendre plus sur l’attaque en elle-même, et pouvoir ainsi accélérer l’enquête interne et les efforts de gestion de crise.

Ces discussions font également ressortir toute la diversité des profils d’organisations concernées. Les attaques touchant de grandes organisations sont fréquemment médiatisées, mais beaucoup d’autres ne sont jamais évoquées. Et notamment parce qu’elles concernent des organisations modestes pour lesquelles l’attaque peut s’avérer tragique. À tel point que certaines situations plaident fortement en faveur de la cyberassurance… même si d’autres laissent à s’interroger sur la rigueur de certains souscripteurs.

Les négociations, et en particulier lorsqu’elles aboutissent favorablement pour les cyberdélinquants, peuvent également recéler des informations précieuses sur le paiement. Celles-ci peuvent s’avérer éclairantes sur la santé des activités des cybertruands, jusqu’à parfois permettre de reconstituer un historique de celles-ci et d’estimer les gains des franchises mafieuses.

Une confidentialité promise qui s’avère somme toute assez relative. Capture d’écranUne confidentialité promise qui s’avère somme toute assez relative. Capture d'écran 2021 - Crédit LeMagIT

Télécharger gratuitement ce dossier au format PDF

1Techniques-

Des acteurs parfois très méthodiques

Actualités

Enquête sur la face cachée des ransomwares : les négociations

Certaines organisations cèdent à la pression et l’assument. D’autres préfèrent le mutisme ou espèrent ainsi que la cyberattaque passera inaperçue. Mais les cyberdélinquants se préoccupent peu de ces espoirs de discrétion. Lire la suite

Conseils IT

Ransomware : ce que recommandent les cybercriminels pour se protéger

Outre le déchiffrement des données et la destruction de celles qui ont été volées, les attaquants fournissent souvent des indications sur leur mode opératoire et des conseils de sécurité. Lesquels méritent une certaine attention. Lire la suite

Conseils IT

Ransomware : des outils de déchiffrement artisanaux

S’il fallait une raison supplémentaire pour ne pas payer les rançons demandées, les outils de déchiffrement la fournissent : artisanaux, ils ne permettent pas de traiter rapidement tout un parc. Lire la suite

Actualités

Ransomware : quand les attaquants détruisent les sauvegardes

Face à la menace des ransomwares, toutes les architectures de sauvegarde ne se valent pas. Plusieurs exemples concrets en ont encore récemment fait la démonstration. Lire la suite

Actualités

Ransomware : l’évasif AvosLocker s’attaque à son tour à ESXi

Les opérateurs de la franchise de ransomware AvosLocker revendiquent le support des systèmes Linux et ESXi depuis l’automne dernier. Mais le premier échantillon correspondant vient seulement d’être découvert. Lire la suite

Conseils IT

Face aux ransomwares : surveiller les services de stockage cloud

L’utilisation de ces services pour l’exfiltration de données, volées par les attaquants dans le système d’information de leurs victimes, n’est pas nouvelle. Mais elle apparaît observée de plus en plus fréquemment. Lire la suite

2Victimes-

Des profils très variés

Actualités

Ransomware : et si votre prestataire de BPO était votre maillon faible ?

Un fournisseur indien de services d’externalisation de processus métiers a été victime d’un rançongiciel mi-octobre. Il a payé la rançon pour cacher l’incident, notamment auprès de ses partenaires. Quitte à les mettre en danger. Lire la suite

Actualités

Ransomware : Infovista apparaît tenir tête à Conti depuis fin avril

Un échantillon du ransomware Conti renvoie à une conversation où ont été partagées des données attribuées à Infovista. Les attaquants demandent une rançon de 4 millions de dollars. L’intéressé ne commente pas. Lire la suite

Actualités

Ransomware : le spécialiste du stockage ExaGrid apparaît avoir cédé à Conti

Les cybercriminels disent être restés plus d’un mois dans le système d’information d’ExaGrid avant de déclencher la phase finale de leur cyberattaque. Ils ont obtenu le paiement de 2,6 millions de dollars. Lire la suite

Actualités

Ransomware : Sodinokibi frappe le centre technologique de l’automobile de Galice

Le CTAG semble avoir été attaqué fin octobre, par le groupe Revil, qui apparaît désespérer d’être payé. Des équipements réseau vulnérables sont susceptibles d’avoir servi de point d’entrée aux assaillants. Lire la suite

Actualités

Ransomware : ces rançons payées qui plaident en faveur de la cyberassurance

De l’avis général, le paiement des rançons alimente la cybercriminalité. Mais qui paie ? Les victimes de cyberattaques qui comptent sur leur assurance pour supporter le coût de la rançon, ou celles qui ne sont pas assurées ? Lire la suite

Actualités

Cyberassurance : les assureurs sont-ils assez exigeants ?

La posture de sécurité de certaines entreprises victimes de cyberattaques, peut parfois laisser hautement dubitatif. Encore plus lorsque celles-ci s’avèrent assurées contre ce risque. Les assureurs sont-ils suffisamment circonspects ? Lire la suite

3Cyberdélinquants-

Succès, tensions, et ratés

Actualités

Ransomware : les Conti à couteaux tirés ?

Le ransomware Conti a été utilisé contre l’éditeur français Solware dans la nuit du 11 au 12 août. Mais un événement surprenant a suivi : 24 h plus tard, les données chiffrées des serveurs de production étaient détruites. Lire la suite

Actualités

Théoriquement intouchables, mais frappés tout de même avec Avaddon

Les raisons de la disparition d’Avaddon ne sont pas connues à ce stade. Peut-être la pression internationale était-elle devenue trop forte pour les opérateurs. À moins que certaines erreurs n’aient commencé à se voir un peu trop. Lire la suite

Actualités

Ransomware : les affidés de Revil revoient leurs exigences à la baisse

La franchise mafieuse Revil connaît un niveau d’activité plus élevé que jamais. Mais le succès apparaît encore tout relatif. Et cela d’autant plus que certains affidés n’hésitent plus à casser sévèrement et rapidement les prix. Lire la suite

Actualités

Avaddon : un butin d’au moins un million de dollars depuis début mai

Ce ransomware rencontre un succès croissant auprès des cybercriminels depuis le mois de mars. Le nombre de victimes ne payant pas progresse. Mais les traces de paiements laissent entrevoir une situation préoccupante. Lire la suite

Actualités

Ransomware : un aperçu des millions collectés par le groupe Conti/Ryuk

Au moins 15 transactions attribuables au groupe Conti/Ryuk sont survenues au mois de septembre. Pour un montant total d’au moins 7 millions de dollars. Une reprise solide après un mois d’août en demi-teinte. Lire la suite

4Glossaire-

Quelques définitions...

Close