Introduction
Malgré ce qu’ils affirment, les « grands noms » de la cyberdélinquance avec ransomware ne se préoccupent guère de la confidentialité des échanges avec leurs victimes. Il n’est pas rare que des analystes, des chercheurs et des journalistes réussissent à s’immiscer dans une conversation entre assaillant et victime. L’histoire l’a montré et elle se répète régulièrement. Parfois même, d’autres cybertruands s’invitent dans les échanges pour essayer de couper l’herbe sous le pied de l’attaquant, quitte à ce que cela conduise la victime à passer deux fois à la caisse.
Mais ces échanges s’avèrent généralement éclairants. Ils sont l’occasion d’en apprendre plus sur les dégâts causés par les cyberdélinquants et sur la manière dont ils ont réussi à s’infiltrer dans le système d’information de leur victime. Certains négociateurs donnent d’ailleurs parfois l’impression de faire durer l’échange, même en l’absence de véritable intention de payer, afin simplement d’en apprendre plus sur l’attaque en elle-même, et pouvoir ainsi accélérer l’enquête interne et les efforts de gestion de crise.
Ces discussions font également ressortir toute la diversité des profils d’organisations concernées. Les attaques touchant de grandes organisations sont fréquemment médiatisées, mais beaucoup d’autres ne sont jamais évoquées. Et notamment parce qu’elles concernent des organisations modestes pour lesquelles l’attaque peut s’avérer tragique. À tel point que certaines situations plaident fortement en faveur de la cyberassurance… même si d’autres laissent à s’interroger sur la rigueur de certains souscripteurs.
Les négociations, et en particulier lorsqu’elles aboutissent favorablement pour les cyberdélinquants, peuvent également recéler des informations précieuses sur le paiement. Celles-ci peuvent s’avérer éclairantes sur la santé des activités des cybertruands, jusqu’à parfois permettre de reconstituer un historique de celles-ci et d’estimer les gains des franchises mafieuses.
Une confidentialité promise qui s’avère somme toute assez relative. Capture d’écran 2021 – Crédit LeMagIT
1Techniques–
Des acteurs parfois très méthodiques
2Victimes–
Des profils très variés
3Cyberdélinquants–
Succès, tensions, et ratés
Ransomware : les Conti à couteaux tirés ?
Le ransomware Conti a été utilisé contre l’éditeur français Solware dans la nuit du 11 au 12 août. Mais un événement surprenant a suivi : 24 h plus tard, les données chiffrées des serveurs de production étaient détruites. Lire la suite