rançon Ransomwares cryptolocker

Comptables, avocats et DRH cibles privilégiées des ransomwares

Depuis quelques semaines, les attaques de ransomware à l’encontre des entreprises se sont démultipliées d’une manière inquiétante. Parmi les cibles privilégiées des opérateurs de rançongiciels, les comptables, avocats et DRH.

Les ransomwares ne sont plus à présenter. Malheureusement, pas une journée sans un particulier, une association, une entreprise ne soient impactés par ce type de cyberattaque. À chaque fois, le même scénario : infiltration, extraction, chantage. Dans ce chantage, comme je peux vous le montrer dans les colonnes de ZATAZ, des extorsions d’argent via plusieurs méthodes : déchiffrement des données prises en otage (phase 1) ; non diffusion des données volées avant le chiffrement (phase 2) ; mise en vente dans des blackmarkets des données volées (phase 3) ; diffusion publique des informations (phase 4) ; contact des clients, partenaires, autorités locales (phase 5) …

Les opérateurs de Ragnar se lancent dans le marketing avec nouveau site et nouveau logo. Capture : zataz.com

Des cibles de plus en plus « riches » de données

Parmi les cibles privilégiées des pirates: les avocats, les cabinets comptables et les ressources humaines. Les chiffres qui vont suivre reviennent sur la seconde phase (phase 2) du rançonnage, le chantage à la diffusion des informations volées. Des chiffres exclusifs ZATAZ. Depuis trois ans, pour certains groupes, je regroupe et analyse leurs comportements, leurs actions et leurs cibles. Les statistiques ne prennent pas en compte les entreprises infiltrées et rançonnées via le chiffrement (phase 1).

Soyons très clair, il est IMPOSSIBLE de connaitre le chiffre exact de ces victimes, et encore moins celles qui ont payé le déchiffrement et qui n’apparaissent pas dans les phases 2, 3, 4 & 5 de cette cyber menace.

Le seul « indicateur » concret reste la diffusion, par l’opérateur du ransomware Shade (Troldesh, Encoder.858), de 750 000 clés de déchiffrement, au mois d’avril 2020. Soit autant de « prise d’otage » pour UN seul outil pirate.

Plus de 30 groupes en activités

Dans la trentaine de groupes que je surveille, dix sont très actifs ! En voici quelques exemples.

Maze, avec plus de 200 sociétés menacées par la phase deux du rançonnage. 10 cabinets d’avocats (regroupant plus de 15 000 clients) ; 17 cabinets de comptabilité (nombre de clients indéfinissables mais dépassant les 50 000 clients). Les USA sont les plus ciblées avec 133 cas ; 18 en France ; 8 au Canada et 4 en Chine. Une cinquantaine ont payé la phase deux du chantage !

Doppel, plus de 40 victimes dont 4 importants cabinets comptables. Dix entreprises Françaises et Canadiennes ; 26 américaines.

Sodinokibi, 60 victimes avouées pour la seconde phase. 21 victimes pour la troisième phase, la vente aux enchères « publiques » des informations volées aux entreprises. 37 sociétés sont basées aux USA ; 4 au Canada.

Les pirates de Nifilim sont « presque » atypiques avec neuf sociétés de holdings. Des entreprises qui se retrouvent avec leurs données diffusées, au compte-gouttes depuis des semaines.

Je pourrai aussi relater Netwalker et ses deux importants cabinets de juristes additionnant plusieurs centaines de clients ou encore Ragnar et son marketing renouvelé (nouveau logo, site web, …).

Des clients… victimes !

Un marketing de la malveillance qui ne cesse pas d’évoluer comme l’indique Maze dans son dernier – communiqué de presse – : « Le monde entier est en proie à une pandémie et à une crise économique profonde. Nous sommes également dans la même réalité avec le monde entier. Dans cette situation, nous devons annoncer des nouvelles concernant les communications futures avec nos clients actuels et nouveaux et le traitement de leurs informations.« 

Comme j’ai pu le révéler en juin, les groupes réfléchissent à de nouvelles menaces, dont celle de réduire le temps de la seconde phase. Bilan, Maze confirme qu’ils n’attendront pas plus de 3 jours entre le moment de l’attaque et la publication des informations volées. « Si vous n’avez pas commencé à communiquer dans les 3 jours, vous ne pouvez-vous en prendre qu’à vous-même pour les dommages causés à votre réputation et les pertes financières. » annoncent les voyous 2.0. « Si le client est trop timide, ou s’il a peur ou ne peut tout simplement pas négocier, c’est son problème. Nous ne sommes pas des psychologues pour comprendre le client et analyser son comportement.« 

Les pirates confirment que toutes les informations dérobées seront diffusées au bout de 10 jours. Pour Maze, pas de troisième phase, celle de la vente aux enchères. J’ai cependant des preuves de diffusions dans certains black market. Les opérateurs de Maze passent aussi directement à la phase 4 : « Au début de la publication [des données volées], nous informerons également tous les partenaires, clients« . Des malfaiteurs du numérique qui terminent leur propos par une phrase qui laisse songeur, mais qui démontre leur motivation : « Notre activité est basée sur notre réputation. Notre honnêteté est notre revenu.« 

Fait étonnant, le géant économique Indien est quasiment inexistant lors de la phase 2 des voleurs. Sophos, dans une campagne marketing locale (mai 2020) indiquait que plus de 82% des entreprises du pays avaient été impactées par un ransomware au cours des 12 derniers mois, contre 67% en 2017. 66% de ces entreprises ont payé pour récupérer leurs données. Et seulement 29% auraient pu récupérer les infos sans payer. Seul Nifilim a affiché une victime locale, Aban. Les autres sociétés ne sont pas tombées dans les phases 2, 3 et 4 des pirates ?

Bizarre, vous avez dit bizarre 🙂

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.