Pourquoi des cybercriminels délaissent les rançongiciels pour le seul vol de données
Sautant l'étape du chiffrement des données de leurs victimes, des cybercriminels s'appuient sur la seule menace d'une divulgation des données volées pour extorquer une rançon.
Est-ce juste une simple nouvelle branche du cybercrime ou le révélateur d’un changement plus profond de modèle économique ? Alors que le rançongiciel reste l’activité phare de la criminalité informatique, avec au moins 602 millions de dollars de gains en 2021, selon le cabinet spécialisé dans les investigations sur la blockchain Chainalysis, des gangs délaissent le chiffrement de données pour se concentrer sur le vol d’informations.
Que des cybercriminels demandent une rançon en brandissant la menace d’une publication des données volées n’est pas nouveau. Les gangs spécialisés dans les rançongiciels le font depuis environ trois ans. C’est la fameuse double extorsion: le chiffrement de fichiers internes est suivi d’un chantage à la divulgation des données. Des criminels poursuivent aujourd'hui cette tendance en faisant l’impasse sur l’étape du chiffrement des données.
C’est par exemple le cas de la franchise mafieuse Babuk, qui avait annoncé sur son blog ce changement de direction en avril 2021. Ou encore le cas d’Industrial Spy, ce gang qui revendique avoir piraté la SATT du Sud-Ouest. Sur sa place de marché de données volées, il vend les informations dérobées d’abord à destination des victimes, puis au plus offrant, et enfin, en l’absence d’acheteur, sous forme de fichiers gratuits.
Demande de rançon de 13 millions de dollars
Plus récemment, Karakurt, du nom des araignées veuves noires au Kazakhstan, s’est également spécialisé sur le seul vol de données. Selon une note des autorités américaines – la Cisa, l’équivalent américain de l’Anssi, le FBI ou encore le département du Trésor –, ce groupe criminel très agressif, soupçonné d’être une filiale des criminels de Conti, s’est distingué par des demandes de rançon particulièrement élevées, de 25 000 dollars à 13 millions. Pour faire pression sur leurs victimes, ces cybercriminels ont mené “de vastes campagnes de harcèlement”, visant à la fois les salariés de la cible, mais également ses partenaires ou ses clients.
Un phénomène surveillé par le géant de la cybersécurité Sophos. Dans son rapport annuel sur les rançongiciels en 2021, l’entreprise remarquait que la part des attaques sans chiffrement, se limitant à un vol de données suivi d’une tentative d’extorsion, avait plus que doublé, passant de 3% à 7%. Mais alors que la firme s’interrogeait sur cette nouvelle tendance, elle a dû relativiser cette augmentation un an après. Dans son dernier rapport, au printemps 2022, Sophos remarquait que cette part était retombée à 4%.
Toutefois, pour le spécialiste des négociations Coveware, il faut pourtant bien se préparer à voir ce type de vol sans chiffrement se développer à l’avenir. Selon la firme, les cybercriminels pourraient en effet être tentés dans certains cas de ne pas chiffrer les données de leur cible pour éviter d’attirer trop l’attention. L’entreprise fait ici référence à l’attaque qui a visé Colonial Pipeline, au printemps 2021, attribuée au gang Darkside.
Pour les cybercriminels, cette histoire s’est finalement révélée une mauvaise affaire. L’attaque, qui a causé un émoi national et mis la Maison blanche en alerte, s’est finalement soldée par la récupération par les autorités américaines d’une partie de la rançon. Et surtout, la tête des criminels a été mise à prix après cette attaque informatique.
Des attaques plus discrètes
Pour les cybercriminels, l’extorsion sans chiffrement doit donc permettre d’agir plus discrètement. Elle nécessite également moins d’investissement. Les gangs spécialisés dans le rançongiciel doivent en effet développer un outil rapide et robuste de chiffrement. Et s’assurer, s’ils veulent que leur réputation reste correcte, que leur déchiffreur soit au point.
Mais il est difficile de faire la part des choses entre un réel changement de stratégie des cybercriminels, en réponse par exemple aux mesures de protection telles que les sauvegardes, ou un simple opportunisme. Ainsi, quelques mois après l’annonce du changement de fusil d’épaule de Babuk, la presse spécialisée signalait des problèmes de conception de ce rançongiciel rendant impossible la récupération des données chiffrées, un souci technique qui a peut être pesé dans le virage pris par ce groupe. A contrario, Industrial Spy a récemment déployé un rançongiciel chez une cible, signe que le gang ne compte pas se limiter qu’au vol de données.
Au final, il est probable que les cybercriminels jonglent en fonction des opportunités entre l’extorsion et le rançongiciel. “C’est une activité qui peut être complémentaire”, signale à l'Usine digitale Narimane Lavay, analyste en cybermenaces chez Sekoia. Avec des cibles différentes et des attaques pouvant générer d’importants revenus qui ont "toutes les chances de fonctionner”, avertit-elle.
SUR LE MÊME SUJET
Pourquoi des cybercriminels délaissent les rançongiciels pour le seul vol de données
Tous les champs sont obligatoires
0Commentaire
Réagir
