Comptables, avocats et DRH cibles privilégiées des ransomwares

Posted On 14 Juil 2020

Tag: comptable, DRH, infiltration, juriste, ransomware

Depuis quelques semaines, les attaques de ransomware à l’encontre des entreprises se sont démultipliées d’une manière inquiétante. Parmi les cibles privilégiées des opérateurs de rançongiciels, les comptables, avocats et DRH.

Les ransomwares ne sont plus à présenter. Malheureusement, pas une journée sans un particulier, une association, une entreprise ne soient impactés par ce type de cyberattaque. À chaque fois, le même scénario : infiltration, extraction, chantage. Dans ce chantage, comme je peux vous le montrer dans les colonnes de ZATAZ, des extorsions d’argent via plusieurs méthodes : déchiffrement des données prises en otage (phase 1) ; non diffusion des données volées avant le chiffrement (phase 2) ; mise en vente dans des blackmarkets des données volées (phase 3) ; diffusion publique des informations (phase 4) ; contact des clients, partenaires, autorités locales (phase 5) …

Les opérateurs de Ragnar se lancent dans le marketing avec nouveau site et nouveau logo. Capture : zataz.com

Des cibles de plus en plus « riches » de données

Parmi les cibles privilégiées des pirates: les avocats, les cabinets comptables et les ressources humaines. Les chiffres qui vont suivre reviennent sur la seconde phase (phase 2) du rançonnage, le chantage à la diffusion des informations volées. Des chiffres exclusifs ZATAZ. Depuis trois ans, pour certains groupes, je regroupe et analyse leurs comportements, leurs actions et leurs cibles. Les statistiques ne prennent pas en compte les entreprises infiltrées et rançonnées via le chiffrement (phase 1).

Soyons très clair, il est IMPOSSIBLE de connaitre le chiffre exact de ces victimes, et encore moins celles qui ont payé le déchiffrement et qui n’apparaissent pas dans les phases 2, 3, 4 & 5 de cette cyber menace.

Le seul « indicateur » concret reste la diffusion, par l’opérateur du ransomware Shade (Troldesh, Encoder.858), de 750 000 clés de déchiffrement, au mois d’avril 2020. Soit autant de « prise d’otage » pour UN seul outil pirate.

Plus de 30 groupes en activités

Dans la trentaine de groupes que je surveille, dix sont très actifs ! En voici quelques exemples.

Maze, avec plus de 200 sociétés menacées par la phase deux du rançonnage. 10 cabinets d’avocats (regroupant plus de 15 000 clients) ; 17 cabinets de comptabilité (nombre de clients indéfinissables mais dépassant les 50 000 clients). Les USA sont les plus ciblées avec 133 cas ; 18 en France ; 8 au Canada et 4 en Chine. Une cinquantaine ont payé la phase deux du chantage !

Doppel, plus de 40 victimes dont 4 importants cabinets comptables. Dix entreprises Françaises et Canadiennes ; 26 américaines.

Sodinokibi, 60 victimes avouées pour la seconde phase. 21 victimes pour la troisième phase, la vente aux enchères « publiques » des informations volées aux entreprises. 37 sociétés sont basées aux USA ; 4 au Canada.

Les pirates de Nifilim sont « presque » atypiques avec neuf sociétés de holdings. Des entreprises qui se retrouvent avec leurs données diffusées, au compte-gouttes depuis des semaines.

Je pourrai aussi relater Netwalker et ses deux importants cabinets de juristes additionnant plusieurs centaines de clients ou encore Ragnar et son marketing renouvelé (nouveau logo, site web, …).

Des clients… victimes !

Un marketing de la malveillance qui ne cesse pas d’évoluer comme l’indique Maze dans son dernier – communiqué de presse – : « Le monde entier est en proie à une pandémie et à une crise économique profonde. Nous sommes également dans la même réalité avec le monde entier. Dans cette situation, nous devons annoncer des nouvelles concernant les communications futures avec nos clients actuels et nouveaux et le traitement de leurs informations.«

Comme j’ai pu le révéler en juin, les groupes réfléchissent à de nouvelles menaces, dont celle de réduire le temps de la seconde phase. Bilan, Maze confirme qu’ils n’attendront pas plus de 3 jours entre le moment de l’attaque et la publication des informations volées. « Si vous n’avez pas commencé à communiquer dans les 3 jours, vous ne pouvez-vous en prendre qu’à vous-même pour les dommages causés à votre réputation et les pertes financières. » annoncent les voyous 2.0. « Si le client est trop timide, ou s’il a peur ou ne peut tout simplement pas négocier, c’est son problème. Nous ne sommes pas des psychologues pour comprendre le client et analyser son comportement.«

Les pirates confirment que toutes les informations dérobées seront diffusées au bout de 10 jours. Pour Maze, pas de troisième phase, celle de la vente aux enchères. J’ai cependant des preuves de diffusions dans certains black market. Les opérateurs de Maze passent aussi directement à la phase 4 : « Au début de la publication [des données volées], nous informerons également tous les partenaires, clients« . Des malfaiteurs du numérique qui terminent leur propos par une phrase qui laisse songeur, mais qui démontre leur motivation : « Notre activité est basée sur notre réputation. Notre honnêteté est notre revenu.«

Fait étonnant, le géant économique Indien est quasiment inexistant lors de la phase 2 des voleurs. Sophos, dans une campagne marketing locale (mai 2020) indiquait que plus de 82% des entreprises du pays avaient été impactées par un ransomware au cours des 12 derniers mois, contre 67% en 2017. 66% de ces entreprises ont payé pour récupérer leurs données. Et seulement 29% auraient pu récupérer les infos sans payer. Seul Nifilim a affiché une victime locale, Aban. Les autres sociétés ne sont pas tombées dans les phases 2, 3 et 4 des pirates ?

Bizarre, vous avez dit bizarre 🙂

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.