• Votre panier est vide.

  • LOGIN

Le ransomware est devenu une entreprise et est devenu plus cruel


Certains articles de veille peuvent faire l'objet de traduction automatique.


«Nous avons créé DarkSide parce que nous n’avons pas trouvé le produit parfait pour nous », lit-on dans l’annonce de lancement. «Maintenant, nous l’avons.» C’est une ligne qui pourrait provenir de n’importe quel nombre de pitch decks compatibles avec VC, mais DarkSide n’est pas une startup. Il s’agit de la dernière souche de ransomware conçue pour ébranler les cibles du gros gibier pour des millions de personnes – avec des attaques qui sont formulées dans un air de professionnalisme étrange.

Délais de livraison garantis. Assistance par chat en temps réel. Notoriété de la marque. Alors que les ransomwares deviennent une grande entreprise, ses fournisseurs ont adopté les tropes des entreprises légitimes, jusqu’aux engagements de responsabilité d’entreprise. Dans ce même «communiqué de presse», publié sur le site des opérateurs sur le dark web le 10 août et signalé pour la première fois par le site d’information sur la cybersécurité Bleeping Computer, les pirates de DarkSide jurent de ne pas attaquer les hôpitaux, les écoles, les organisations à but non lucratif ou les cibles gouvernementales.

«Les groupes deviennent de plus en plus d’une efficacité impitoyable», déclare Brett Callow, analyste des menaces chez la société d’antivirus Emsisoft. «Ils ont plus de chances de réussir, plus ils facilitent la vie de leurs victimes ou plus ils leur facilitent la tâche.»

DarkSide, Inc.

La montée en puissance du hacker ransomware boutonné a été progressive et généralisée, et est en partie fonction du succès de la reproduction. Plus ces groupes disposent de ressources, plus ils peuvent allouer à la rationalisation de leurs services. En 2019, les attaques de ransomwares ont potentiellement été capturées au moins 7,5 milliards de dollars des victimes aux États-Unis uniquement, selon Emsisoft.

Le groupe derrière DarkSide n’est pas le premier à porter une patine de professionnalisme. Le ransomware REvil, qui est antérieur et partage certaines caractéristiques avec DarkSide, offre depuis longtemps une assistance par chat et assure aux victimes que «son [sic] juste une entreprise. Nous ne nous soucions absolument pas de vous et de vos offres, sauf pour obtenir des avantages. » On a longtemps pensé que les développeurs de Maze ransomware opéraient sous un modèle d’affiliation, dans lequel ils obtenaient une part de tout ce que les pirates informatiques glanent des attaques qui utilisent leur produit.

Un échange particulièrement illustratif publié par Reuters en juillet montre à quel point ces interactions peuvent être cordiales, au moins superficiellement. Lorsque les pirates du ransomware Ragnar Locker ont frappé la société de voyages CWT, un représentant de la déchiqueteuse à l’autre bout de la ligne de support a décrit les services que le paiement de la rançon rendrait, a offert une réduction de 20% pour un paiement en temps opportun et a maintenu la fenêtre de discussion fonctionnelle après la remise. les clés de déchiffrement au cas où CWT aurait besoin d’un dépannage. «C’est un plaisir de traiter avec des professionnels», a écrit l’agent Ragnar à la fin de la conversation. Ils auraient tout aussi bien pu discuter d’un remboursement de denim chez Madewell.

«Même les tout premiers opérateurs de ransomwares se sont montrés sensibles à la fourniture d’un« bon service client »et d’une communication réactive via des systèmes de chat ou par courrier électronique dédiés, et des garanties raisonnables que le paiement conduirait les victimes à recevoir les outils nécessaires pour décrypter les fichiers et les systèmes concernés» déclare Jeremy Kennelly, responsable de l’analyse chez Mandiant Threat Intelligence.

En plus de se débarrasser des hôpitaux – une cible traditionnellement populaire des ransomwares, mais plus un champ de mines dans une pandémie – DarkSide affirme également qu’il n’attaque que ceux qui peuvent se permettre de payer. «Avant toute attaque, nous analysons attentivement votre comptabilité et déterminons combien vous pouvez payer en fonction de votre revenu net», lit-on dans le communiqué de presse.

Ce type de sophistication opérationnelle s’est également répandu ces dernières années. Mandiant a repéré un acteur associé à Maze cherchant à embaucher quelqu’un pour scanner les réseaux à plein temps pour identifier les entreprises et déterminer leurs finances. «Nous avons également vu des outils spécialisés apparemment développés pour aider à découvrir rapidement les revenus de l’entreprise», a déclaré Kimberly Goody, directeur principal de l’analyse chez Mandiant Threat Intelligence, dans une interview le mois dernier. «Plus tôt en juillet, un acteur a annoncé un vérificateur de domaine qui produirait des informations sur une entreprise à partir de ZoomInfo, y compris ses revenus répertoriés, le nombre d’employés et l’adresse.»

En d’autres termes, DarkSide ne fait rien de nouveau, mais il fournit une distillation ordonnée de la façon dont les groupes de ransomware ont adopté un vernis très professionnel. Dans le même temps, son nom fait allusion aux mesures de plus en plus de représailles que ces mêmes pirates ont commencé à prendre lorsque leurs victimes ne paient pas.

Carottes et bâtonnets

La politesse de DarkSide dément manifestement l’activité criminelle à laquelle il participe, et comme d’autres grands groupes de ransomwares, ses opérateurs ont dépassé le simple chiffrement des fichiers d’une victime. Pour mieux garantir le paiement, ils volent également ces données et les tiennent en otage, menaçant de les rendre publiques si la cible tente de restaurer ses systèmes par elle-même.

Voir aussi :

août 29, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)