A quoi il faut s’attendre lors d’une négociation sur un ransomware.

Ransomware: une définition

Il arrive que le système informatique d’un utilisateur ou d’une organisation soit attaqué et crypté jusqu’au paiement d’une rançon. Le logiciel utilisé dans ces attaques est appelé ransomware. La rançon généralement demandée est un paiement sous forme de monnaie virtuelle, comme le bitcoin. Lorsque les données sont d’une importance vitale pour une organisation, il arrive que la rançon soit payée. En 2016, plusieurs hôpitaux américains ont été touchés par des attaques de ransomware, et l’un d’entre eux a payé plus de 17 000 dollars pour que ses systèmes soient libérés.

Nous voulions mieux comprendre ce que les victimes vivent pendant le processus d’après-coup et de récupération d’une attaque par ransomware afin d’aider les autres au cas où ils se retrouveraient dans une situation similaire. Pour ce faire, nous avons analysé les chats d’assistance aux victimes pour cinq familles de ransomwares.

Nous connaissons tous le risque d’une attaque par ransomware. Les titres des dernières victimes peuvent hanter les rêves des responsables de la sécurité des informations (CISO) et des centres d’opérations de sécurité (SOC) en raison des modèles d’extorsion multiples utilisés par les groupes de ransomware modernes.

Nous avons voulu mieux comprendre ce que les victimes vivent pendant le processus d’après-coup et de récupération d’une attaque par ransomware afin d’aider les autres au cas où ils se trouveraient dans une situation similaire. Pour ce faire, nous avons analysé les chats d’aide aux victimes pour cinq familles de ransomware : Conti, Lockbit 2.0, AvosLocker, Hive et HelloKitty pour Linux. Chacun de ces groupes de ransomware utilise des identifiants de victime uniques pour proposer des négociations et une « assistance » pendant que la victime tente de récupérer ses données.

Nous avons identifié des tendances et des points communs entre les acteurs et les affiliés et nous offrons des conseils aux organisations sur la base de ce que nous avons vu jusqu’à présent.

Pourquoi une assistance par chat ?

Les acteurs et affiliés du Ransomware-as-a-service (RaaS) utilisaient auparavant le courrier électronique pour communiquer avec les victimes. Cette correspondance électronique permettait de négocier un prix pour la clé de déchiffrement et aux victimes de trouver un moyen d’empêcher la publication de leurs données sur les sites de fuite des groupes. Cependant, ce mode de communication a introduit des complications. Après tout, la demande de rançon était affichée sur chaque système de l’organisation victime. Que se passait-il lorsque plusieurs personnes de la même entreprise contactaient les acteurs de la menace ? Il devenait impossible pour les criminels d’entretenir plusieurs conversations par courrier électronique avec la même victime, car ils risquaient de se contredire ou de proposer des prix différents dans les différents courriers électroniques.

Pour résoudre ce problème, les acteurs du ransomware ont commencé à utiliser des identifiants de victime uniques pour chaque organisation victime. Pour Conti, AvosLocker et HelloKitty for Linux, ces identifiants uniques font partie de la note de rançon, et le fichier de rançon lui-même doit être téléchargé sur le site Web Tor ou en clair du groupe (comme indiqué dans la note de rançon) pour qu’une victime puisse accéder à un site de discussion spécifique.

En revanche, Lockbit 2.0 utilise l’identifiant unique de la victime pour se connecter au site de discussion du groupe, ainsi qu’un CAPTCHA.

Il est également intéressant de noter qu’en dépit du fait que l’organisation victime se « connecte » avec ses informations d’identification uniques, les criminels demandent toujours à quelle organisation ils s’adressent au début de la négociation. Cela implique que, de leur côté, les criminels n’établissent pas de corrélation entre les identifiants spécifiques et les organisations victimes assignées. Il peut aussi s’agir d’un moyen de vérifier qu’ils parlent bien à une organisation de victimes plutôt qu’à un chercheur ou à un membre des forces de l’ordre.

Le modèle d’identifiant unique de la victime garantit que même si 30 employés tentent de négocier au nom de l’entreprise, tout le monde ira sur la même page de chat. Cela inclut les chercheurs et les agents des forces de l’ordre, qui peuvent également surveiller ces sites de discussion.

Comment ces chats sont-ils accessibles ?

L’un des problèmes posés par ce modèle de support de chat est que toute personne disposant de la note de rançon peut accéder au chat. Si les identifiants uniques des victimes sont, comme leur nom l’indique, spécifiques à chaque victime, cela ne signifie pas qu’ils ne peuvent être utilisés que par cette dernière. En fait, n’importe qui – chercheurs, forces de l’ordre et journalistes d’investigation, entre autres – peut surveiller la conversation avec une victime, et les groupes de ransomware en sont conscients.

Le groupe ransomware MountLocker s’est attaqué à ce problème en demandant à ses victimes de définir leur propre mot de passe lors de la connexion initiale à son site de chat. Cette obligation de créer leur propre mot de passe ajoute ainsi une couche de confidentialité au site de chat.

L’implication ici est la suivante : Dans le cas où une organisation devient une victime et commence à négocier avec le groupe criminel impliqué, elle doit considérer la conversation comme publique. Si la confidentialité de la négociation doit être préservée, il est préférable de ne pas publier les notes de rançon sur des plateformes accessibles au public.

Ce que nous avons appris sur la négociation de ransomware

Le ransomware Conti a les chats les plus actifs sur la base des notes de rançon disponibles. Chaque discussion commence de la même manière, avec un message standard adressé à chaque victime. D’après ce que nous avons vu, ces messages sont toujours en anglais, quelle que soit la localisation de la victime.

Cette introduction standard montre un niveau de professionnalisme, indiquant que le groupe ransomware utilise un livre de jeu standard pour négocier le personnel. Bien que d’autres familles de ransomware ne commencent pas chaque conversation par le même message d’introduction, les conversations de chat des familles de ransomware que nous avons analysées comprennent généralement quelques points clés, que nous énumérons ici.

Ce qui a été volé

Si la quantité et la nature des données volées varient, elles comprennent toujours des éléments essentiels pour l’entreprise, notamment des données financières, des contrats, des bases de données et des informations personnelles identifiables (IPI) des employés et des clients. Les malfaiteurs proposent toujours de décrypter des échantillons de fichiers à titre de preuve et, dans certains cas, ils fournissent une arborescence de ce qui a été volé.

Négociation du prix

De nombreuses victimes déclarent qu’elles sont prêtes à payer pour décrypter des données et empêcher leur divulgation, mais qu’elles ne peuvent tout simplement pas répondre à la demande initiale. La principale défense ou justification du prix par les criminels est le solde du compte bancaire de la victime ou les informations de sa police d’assurance.

Remises et baisses de prix

Nous avons observé des baisses de prix allant de 25 à 90 % par rapport aux demandes initiales. Chaque groupe semble avoir sa propre philosophie et ses propres normes en ce qui concerne les réductions qu’il accorde. Cependant, ce que les criminels déclarent au départ comme étant leur politique de rabais ne reste pas vrai longtemps. Dans certains cas, un prix est convenu et les acteurs publient quand même les données volées. Dans d’autres cas, la remise finale va bien au-delà de ce que les criminels avaient initialement identifié comme leur offre la plus basse possible.

Changement de ton

Dans la majorité des conversations, on observe également un net changement de ton à un moment donné. Les criminels commencent par assurer fermement que la meilleure option possible pour leur victime est qu’elle paie. Ils renforcent leur argument en rappelant à la victime que la fuite de ses données lui causerait des problèmes juridiques et des amendes réglementaires, ou que le recours à un service de récupération des données ne vaut ni son temps ni son argent. Au cours de ces premières étapes, ils prétendent même qu’ils sont là pour aider les victimes.

Toutefois, cette approche finit par tourner au vinaigre, car les auteurs de ransomware deviennent impatients, insistants et agressifs. L’une des raisons probables de leur impatience est qu’ils ne veulent pas que l’organisation victime s’installe confortablement, oublie la gravité de sa situation ou atténue la menace sans l' »aide » des criminels eux-mêmes. Leurs déclarations vont donc du genre « N’hésitez pas à nous contacter si vous avez d’autres questions » à « Comme vous l’avez peut-être remarqué, votre site Web est actuellement indisponible. Il s’agit de la phase initiale de notre campagne pour la liquidation de votre entreprise… Nous sommes bien conscients que vous n’avez pas de sauvegarde, donc nous attendrons pendant que vous subirez des pertes. »

Ce que les victimes potentielles doivent faire

Il est généralement admis aujourd’hui que pour les organisations, la question n’est pas de savoir si elles seront visées par un ransomware, mais quand. Savoir et accepter cela est essentiel pour éviter qu’une attaque de ransomware n’inflige de graves dommages à toute organisation.

Pour se préparer à l’éventualité d’une attaque moderne par ransomware, les organisations de toutes tailles et de tous secteurs doivent tenir compte des points suivants

  • Élaborez un plan et, tout aussi important, testez-le. Élaborez un plan de réponse aux incidents liés aux ransomwares et effectuez des simulations ou des exercices sur table avec toutes les équipes concernées. Faites-en l’essai avec le conseil d’administration et les dirigeants pour parvenir à un accord. Chaque membre de l’équipe doit connaître son rôle et savoir comment l’accomplir avant qu’une crise réelle ne survienne. Par exemple, l’une des décisions à prendre est de savoir si votre organisation est prête ou non à payer la rançon.
  • Bien que nous ne recommandions pas de payer, si c’est la voie que votre organisation choisit, nous vous conseillons de mettre en place un plan de suivi de la logistique financière.
  • Engagez un négociateur professionnel. Certaines organisations sont spécialisées dans la négociation de rançons pour le compte d’entreprises. D’après nos observations, la plupart des acteurs du ransomware se moquent de savoir s’ils parlent à un négociateur ou à un employé de l’organisation victime. Cependant, le ransomware Grief a récemment affirmé le contraire.
  • L’objectif de la négociation est souvent de gagner du temps pendant que vous récupérez des données à partir de vos sauvegardes éventuelles. En effet, les victimes veulent généralement empêcher la fuite de données ou une nouvelle extorsion, mais elles ne prévoient pas non plus de payer la rançon. Si cela s’applique également au plan de réponse aux incidents de votre organisation, il sera essentiel de le savoir et de faire comprendre cet objectif à tout le monde avant qu’une attaque ne se produise.

Il est également important de savoir qu’il existe plusieurs modèles d’extorsion que les criminels peuvent utiliser, il est donc important de comprendre et de prévoir la possibilité d’une double, triple ou quadruple extorsion. En fin de compte, bien sûr, la meilleure solution consiste à prévenir une attaque de ransomware réussie. Cela nécessite un plan de sécurité complet, ce qui constitue un défi pour de nombreuses organisations.

Comment éviter de devenir une victime de ransomware

S’il est essentiel de connaître le plan au cas où il serait nécessaire, les organisations préféreraient naturellement que toute attaque échoue. Néanmoins, il convient de répéter que toutes les organisations doivent s’attendre à être ciblées et à planifier en conséquence, car il s’agit de la première étape essentielle de la prévention.

Pour commencer à protéger les systèmes contre les ransomwares, il est utile d’utiliser le cadre du National Institute of Standards and Technology (NIST) et les conseils spécifiques aux ransomwares, tels que les suivants :

  • Configurez le matériel et les logiciels correctement pour votre environnement.
  • Suivez le principe du moindre privilège et limitez autant que possible l’accès administratif.
  • Appliquez des correctifs et maintenez les mises à jour logicielles. Tirez parti des correctifs virtuels lorsque vous avez besoin de temps pour mettre en œuvre les correctifs.
  • Auditez et surveillez les journaux d’événements. La consignation des événements de sécurité n’est utile que si quelqu’un surveille ces journaux par rapport à une ligne de base pour savoir quand quelque chose d’anormal se produit.
  • Utilisez la règle 3-2-1 pour la sauvegarde des données : Créez trois copies de sauvegarde sur deux supports, dont l’un est physiquement séparé.
  • Formez les employés et testez les systèmes pour vous assurer que vos hypothèses de sécurité sont vérifiées lors des tests.

Pour en savoir plus sur le sujet:
Qu’est-ce qu’une cyberattaque ?
Comprendre la cybercriminalité
Ransomware: lutter contre un crime sans frontières

ransomware seo inside

SEO INSIDE est une agence SEO.

 

--

 

SEO Inside est une agence web et SEO - en savoir plus sur nous:

Agence web / Audit SEO / Conseil SEO / Création de site internet / Refonte de site internet optimisé pour le SEO / Référencement naturel / Référencement local /Netlinking / Formation SEO / E-Réputation et avis

Voici nos implantations :
Lille / Dunkerque / Amiens – ce sont nos 3 bureaux historiques.

Puis voici nos zones géographiques d’intervention :
Paris / Abbeville / Rouen / Compiègne / Reims / Metz / Caen / Evreux / Nancy / Colmar / Rennes / Le Mans / Orléans / Dijon / Besançon / Angers / Nantes / La Rochelle / Poitiers / Limoges /Clermont-Ferrand / Lyon / Annecy / Grenoble / Valence / Bordeaux / Montauban / Toulouse / Biarritz / Montpellier / Marseille / Cannes / Nice / Avignon / Monaco

SEO INSIDE est une agence web spécialiste en référencement naturel qui se veut proche de vous. Contactez-nous pour discuter de vos projets.