Rançongiciels : payer ou ne pas payer ?

« Nous avons brisé votre périmètre de sécurité et avons accès à tous les serveurs du réseau de l’entreprise dans différents pays à travers tous vos bureaux internationaux.

Nous avons donc téléchargé plus de 2 To de volume total de vos données PRIVÉES SENSIBLES, y compris des fichiers comptables, relevés bancaires, lettres gouvernementales, certificats de licence ; Informations commerciales confidentielles et/ou exclusives, accords de célébrités, Informations personnelles des clients et employés (y compris les numéros de sécurité sociale, adresses, numéros de téléphone, etc.) ; Accords d’entreprise et contrats avec des distributeurs, importateurs, détaillants, accords de non-divulgation.

Cet article va aussi vous intéresser : Payer pour recevoir l’accès à ses propres données

Nous détenons également votre correspondance privée d’entreprise, vos courriels et vos classeurs, vos présentations marketing, vos rapports d’audit et beaucoup d’autres informations sensibles. » pouvait-on lire dans une note envoyée par des cybercriminels à la société italienne spécialisée dans la commercialisation de boissons alcoolisées, Campari Group. L’attaque serait survenue depuis le 1er novembre. Les pirates informatiques affirment posséder près de 2 to des informations sensibles appartenant à l’entreprise. Pour se débarrasser de ces informations, et de permettre à cette dernière d’accéder à son système informatique, les cyberattaquants demandent à l’entreprise italienne de leur verser une rançon de 15 millions d’euros. Pour justifier qu’ils détenaient ces informations, les cybercriminels ont fait des captures d’écran pour le prouver. Par conséquent, la société victime se trouve face à un dilemme. Comme cela est souvent le cas lors d’une attaque au rançongiciel.

Cependant il faut signaler un fait important. Selon une étude réalisée par Coveware, dont le rapport a été publié dans le courant de la semaine dernière, il a été démontré que les pirates informatiques qui utilisent les ransomwares pour des attaques informatiques, se débarrassent rarement, voir jamais, des informations qu’ils volent lors de leurs opérations. La même étude a démontré aussi que près de la moitié des attaques informatiques fondées sur un rançongiciel sont accompagnés de menace de publier les informations dérobées aux cibles en cas de refus de paiement de la rançon. Ce qui c’est par exemple généralement comme un déclencheur qui poussent les victimes à s’exécuter. La menace se justifie par le fait que lorsqu’une victime de cyberattaque au rançongiciel a pris soin de sauvegarder ses données de manière adéquate, il lui suffirait tout simplement de les restaurer. Ce qui constitue d’une certaine manière une perte de temps pour le cybercriminel, car l’entreprise ne verrait pas une raison quelconque de vouloir entrer en contact avec ces derniers. C’est dans ce contexte que les pirates informatiques volent dorénavant les informations. En cas de possibilité de restauration de ces données, ils menacent tout simplement de les divulguer sachant bien sûr que parmi ces informations certaines sont très sensibles.

L’étude de Coveware a abouti à l’idée selon laquelle les techniques d’exfiltration de données ont atteint un point de basculement. Si dans certaines situations plusieurs entreprises ont accepté de payer la somme exigée par les cybercriminels, c’est pour ne pas que leur donnée soient divulguées. Cependant les pirates dans une grande partie de ces cas ne se sont pas débarrassés pour autant de ses données. Il était mis en évidence plusieurs exemples 2 groupes qui cybercriminels qui n’ont pas toujours tenus leur parole même après le paiement de leur victime :

– Sodinokibi : ce groupe a exigé un second payement à ses victimes quelques semaines après que ces dernières ont payé la première rançon exigée.

– Netwalker : quand à ce groupe, ils ont tout simplement divulgué les données volées à des entreprises qui ont bien voulu payer la rançon exigée pour qu’il ne le fasse pas.

– Mespinoza : ils ont fait pareillement que le groupe précédent. C’est-à-dire publier sur un site internet des données volées alors que ces dernières avaient payé la rançon.

– Conti :  ce groupe a tout simplement tenté de berner sa victime en supprimant des faux fichiers à la place des vrais. Ce qui signifie que les vraies données sont toujours à leur disposition.

Face à cette situation et bien d’autres Coveware conseille aux victimes de cyberattaques aux rançongiciels, avant tout paiement de réfléchir à plusieurs situations qui sont plus ou moins avérées :

–  Rien ne garantit que les données seront véritablement supprimées après le paiement ;

–  Il y a de fortes chances que les attaquants communiquent (cela peut-être par une vente sur le marché noir et dark web) les données dérobées à d’autres groupes de cybermalveillance ;

–  Les cybercriminels peuvent revenir exiger un second paiement de rançon

–  Les pirates informatiques qui avaient volé les données ne les ont pas mises en sécurité, exposant ainsi ces mêmes informations à un second piratage informatique par d’autres groupes de cybercriminels ;

–  les données volées peuvent être publiées plus tard par erreur

–  les pirates informatiques peuvent publier les informations avant même que la victime en ne puisse réagir à l’extorsion.

Dans un tel contexte, Coveware conseille aux entreprises touchées par des attaques au rançongiciels de se tourner vers des spécialistes pour s’informer et prendre des conseils : « Il s’agit notamment d’obtenir les conseils d’avocats compétents en matière de protection de la vie privée, de mener une enquête sur les données recueillies et d’effectuer les notifications nécessaires qui résultent de cette enquête et de cet avocat. Payer un acteur malveillant ne vous épargne d’aucun des éléments ci-dessus, et étant donné les résultats que nous avons récemment vus, payer un acteur malveillant pour ne pas divulguer des données volées ne présente pratiquement aucun avantage pour la victime. Il peut y avoir d’autres raisons à considérer, telles que les dommages à la marque ou la responsabilité à long terme, et toutes les considérations doivent être prises avant qu’une stratégie ne soit définie ». Explique la firme.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage