Comme si le fléau des ransomwares n’était pas déjà assez grave : plusieurs fournisseurs importants de ransomwares ont annoncé leur intention de commencer à publier les données volées aux victimes qui refusent de payer. Pour aggraver les choses, un gang de rançongiciels a maintenant créé un site Web public identifiant les entreprises victimes récentes qui ont choisi de reconstruire leurs opérations au lieu d’acquiescer discrètement à leurs bourreaux.
Le message affiché en haut du site de honte publique Maze Ransomware.
Il y a moins de 48 heures, les cybercriminels derrière la souche Maze Ransomware ont érigé un site Web sur l’Internet public, et il répertorie actuellement les noms de sociétés et les sites Web correspondants pour huit victimes de leur logiciel malveillant qui ont refusé de payer une demande de rançon.
« Les entreprises représentées ici ne souhaitent pas coopérer avec nous et tentent de cacher notre attaque réussie contre leurs ressources », explique le site dans un anglais approximatif. « Attendez leurs bases de données et leurs documents privés ici. Suivez l’actualité ! »
BreachTrace a pu vérifier qu’au moins une des entreprises répertoriées sur le site a effectivement récemment souffert d’une infestation de rançongiciel Maze qui n’a pas encore été rapportée dans les médias.
Les informations divulguées pour chaque victime de Maze comprennent la date initiale d’infection, plusieurs fichiers Microsoft Office, texte et PDF volés, le volume total de fichiers prétendument exfiltrés des victimes (mesuré en gigaoctets), ainsi que les adresses IP et les noms de machine du serveurs infectés par Maze.
Aussi choquant que ce nouveau développement puisse être pour certains, ce n’est pas comme si les méchants ne nous avaient pas prévenus que cela allait arriver.
« Pendant des années, les développeurs de rançongiciels et les affiliés ont dit aux victimes qu’elles devaient payer la rançon ou que les données volées seraient rendues publiques », a déclaré Laurent Abramsfondateur du blog sur la sécurité informatique et du site d’aide aux victimes BleepingComputer.com. « Bien qu’il s’agisse d’un secret bien connu, les acteurs du ransomware fouinent dans les données des victimes et, dans de nombreux cas, les volent avant que les données ne soient cryptées, ils n’ont jamais réellement mis à exécution leurs menaces de les divulguer. »
Abrams a déclaré que cela avait changé à la fin du mois dernier, lorsque les escrocs derrière Maze Ransomware ont menacé Allied Universal que s’ils ne payaient pas la rançon, ils publieraient leurs fichiers. Lorsqu’ils n’ont pas reçu de paiement, ils ont publié 700 Mo de données sur un forum de piratage.
« Les attaques de ransomwares sont désormais des violations de données », a déclaré Abrams. « Lors d’attaques de rançongiciels, certains acteurs de la menace ont déclaré aux entreprises qu’ils connaissaient les secrets internes de l’entreprise après avoir lu les fichiers de l’entreprise. Même si cela devrait être considéré comme une violation de données, de nombreuses victimes de ransomwares l’ont simplement balayé sous le tapis dans l’espoir que personne ne le découvrirait jamais. Maintenant que les opérateurs de rançongiciels publient les données des victimes, cela devra changer et les entreprises devront traiter ces attaques comme des violations de données.
La décision de Maze Ransomware intervient quelques jours seulement après que les cybercriminels responsables de la gestion de l’empire des rançongiciels « Sodinokibi/rEvil » ont publié sur un forum Web sombre populaire qu’ils prévoyaient également de commencer à utiliser des fichiers et des données volés comme levier public pour amener les victimes à payer des rançons.
Le chef du gang de rançongiciels Sodinokibi/rEvil a promis de nommer et de faire honte publiquement aux victimes dans un récent message sur le forum sur la cybercriminalité. Image : BleepingComputer.
C’est une nouvelle particulièrement épouvantable pour les entreprises qui peuvent déjà faire face à de lourdes amendes et à d’autres sanctions pour avoir omis de signaler les violations et de protéger les données de leurs clients. Par exemple, les prestataires de soins de santé sont tenus de signaler les incidents liés aux rançongiciels au ministère américain de la Santé et des Services sociaux, qui documente souvent les violations impliquant des données de santé perdues ou volées sur son propre site.
Bien que ces victimes puissent éviter de signaler des incidents de ransomware si elles peuvent montrer des preuves médico-légales démontrant que les données des patients n’ont jamais été prises ou consultées, des sites comme celui que Maze Ransomware a maintenant érigé pourraient bientôt compliquer considérablement ces incidents.