Les cybercriminels deviennent plus agressifs dans leurs efforts pour maximiser les perturbations et obliger le paiement des demandes de rançon, et maintenant une nouvelle tactique d’extorsion est en jeu.
Début novembre, le célèbre gang de ransomwares ALPHV, également connu sous le nom de BlackCat, a tenté une tactique d’extorsion unique en son genre : militariser les nouvelles règles de divulgation des violations de données du gouvernement américain contre l’une des propres victimes du gang. ALPHV a déposé une plainte auprès de la Securities and Exchange Commission (SEC) des États-Unis, alléguant que le fournisseur de prêts numériques MeridianLink n’avait pas divulgué ce que le gang a appelé « une violation importante compromettant les données des clients et les informations opérationnelles », dont le gang s’est attribué le mérite.
« Nous souhaitons attirer votre attention sur un problème préoccupant concernant la conformité de MeridianLink aux règles de divulgation des incidents de cybersécurité récemment adoptées », a écrit ALPHV. « Nous avons remarqué que MeridianLink n’a pas déposé les informations requises au titre de l’article 1.05 du formulaire 8-K dans les quatre jours ouvrables stipulés, comme l’exigent les nouvelles règles de la SEC. »
La dernière tentative d’extorsion de l’ALPHV est le premier exemple de ce qui devrait être une tendance dans les mois à venir, maintenant que les règles sont entrées en vigueur. Bien que nouvelle, ce n’est pas la seule tactique agressive utilisée par les gangs de ransomwares et d’extorsion.
Les pirates informatiques généralement connus pour déployer des ransomwares ont de plus en plus recours à des tactiques de « double extorsion » : en plus de chiffrer les données d’une victime, les gangs menacent de publier les fichiers volés à moins qu’une demande de rançon ne soit payée. Certains vont plus loin avec «tripler « d’extorsion » qui, comme leur nom l’indique, utilisent une approche à trois volets pour extorquer de l’argent à leurs victimes en étendant les menaces et les demandes de rançon aux clients, fournisseurs et associés de la victime d’origine. Ces tactiques ont été utilisées par les pirates informatiques à l’origine du piratage massif de MOVEit, qui constitue un événement clé dans la tendance vers des tentatives d’extorsion sans cryptage.
Même si les définitions ambiguës ne semblent pas être le plus gros problème de cybersécurité auquel sont confrontées les organisations aujourd’hui, la distinction entre ransomware et extorsion est importante, notamment parce que la défense contre ces deux types de cyberattaques peut varier énormément. Cette distinction aide également les décideurs politiques à savoir dans quelle direction évoluent les ransomwares et si les politiques anti-ransomware fonctionnent.
Quelle est la différence entre un ransomware et une extorsion ?
Le Ransomware Task Force décrit les ransomwares comme une « forme évolutive de cybercriminalité, par laquelle les criminels compromettent à distance les systèmes informatiques et exigent une rançon en échange de la restauration et/ou de la non-exposition des données ».
En réalité, les attaques de ransomwares peuvent avoir des impacts très divers. Les experts en ransomware Allan Liska, analyste de renseignements sur les menaces chez Recorded Future, et Brett Callow, analyste des menaces chez Emsisoft, ont partagé dans une analyse avec TechCrunch que cette définition large du ransomware peut s’appliquer à la fois aux « arnaqueurs » nous avons téléchargé le contenu de votre instance Elasticsearch non sécurisée et veulent des attaques à 50 $ » aux « attaques perturbatrices basées sur le cryptage contre les hôpitaux ».
« Ce sont clairement des animaux très différents », ont déclaré Liska et Callow. « L’un est un pirate opportuniste qui vole votre livraison Amazon, tandis que l’autre est une équipe de criminels violents qui s’introduisent par effraction dans votre maison et terrorisent votre famille avant de s’enfuir avec tous vos biens. »
Les chercheurs affirment qu’il existe des similitudes entre les attaques de « chiffrement et d’extorsion » et les « attaques d’extorsion uniquement », comme le recours à des courtiers qui vendent l’accès aux réseaux piratés. Mais il existe également des distinctions importantes entre les deux, en particulier en ce qui concerne les clients, les fournisseurs et les clients d’une victime, dont les propres données sensibles peuvent être piégées dans des attaques uniquement d’extorsion.
« Nous voyons cela se produire à plusieurs reprises, où un acteur malveillant triera les données volées pour trouver l’organisation la plus grande ou la plus reconnue qu’il puisse trouver et prétendra avoir réussi à l’attaquer. Ce n’est pas une tactique nouvelle », ont déclaré Liska et Callow, citant l’exemple d’un groupe de ransomwares qui a déclaré avoir piraté un géant technologique majeur, alors qu’en réalité il avait volé des données à l’un de ses fournisseurs de technologie les moins connus.
« C’est une chose d’empêcher un attaquant de chiffrer les fichiers de votre réseau, mais comment protéger l’ensemble de votre chaîne d’approvisionnement en données ? » dirent Liska et Callow. « En fait, de nombreuses organisations ne pensent pas à leur chaîne d’approvisionnement en données… mais chaque maillon de cette chaîne d’approvisionnement est vulnérable aux attaques de vol et d’extorsion de données. »
Une meilleure définition du ransomware est nécessaire
Même si les autorités découragent depuis longtemps les organisations piratées de payer les demandes de rançon, ce n’est pas toujours une décision facile pour les entreprises touchées par des pirates.
Dans les attaques de chiffrement et d’extorsion, les entreprises ont la possibilité de payer la demande de rançon pour obtenir une clé permettant de décrypter leurs fichiers. Mais lorsqu’ils paient des pirates informatiques employant des tactiques d’extorsion agressives pour supprimer leurs fichiers volés, il n’y a aucune garantie qu’ils le feront réellement.
Cela a été démontré lors de la récente attaque de ransomware contre Caesars Entertainment, qui a payé les pirates informatiques pour empêcher la divulgation de données volées. De son propre aveu, Caesars a déclaré aux régulateurs que « nous avons pris des mesures pour garantir que les données volées soient supprimées par l’acteur non autorisé, même si nous ne pouvons pas garantir ce résultat ».
« En fait, vous devriez supposer que ce ne sera pas le cas », ont déclaré Liska et Callow, faisant référence aux affirmations selon lesquelles les pirates supprimeraient les données volées.
« Une meilleure définition du ransomware, qui tient compte de la distinction entre les différents types d’attaques, permettra aux organisations de mieux planifier et répondre à tout type d’attaque de ransomware, qu’elle se produise au sein de leur propre réseau ou dans celui d’un tiers. « , ont déclaré Liska et Callow.