Les entreprises touchées par les rançongiciels sont souvent confrontées à une double menace : même si elles évitent de payer la rançon et peuvent restaurer les choses à partir de zéro, environ la moitié du temps, les attaquants menacent également de divulguer des données volées sensibles à moins que la victime ne paie pour une promesse de suppression des données. Laissant de côté l’idée que les victimes pourraient réellement s’attendre à ce que les attaquants détruisent réellement les données volées, de nouvelles recherches suggèrent qu’un bon nombre de victimes qui paient peuvent voir tout ou partie des données volées publiées de toute façon.
Les découvertes arrivent un rapport aujourd’hui à partir de Vaisselle, une entreprise spécialisée dans l’aide aux entreprises pour se remettre des attaques de ransomwares. Coveware affirme que près de la moitié de tous les cas de ransomware incluent désormais la menace de divulguer des données exfiltrées.
« Auparavant, lorsqu’une victime de ransomware disposait de sauvegardes adéquates, elle se contentait de restaurer et de continuer à vivre ; il n’y avait aucune raison de s’engager même avec l’acteur de la menace », observe le rapport. « Maintenant, lorsqu’un acteur de la menace vole des données, une entreprise disposant de sauvegardes parfaitement restaurables est souvent obligée d’au moins s’engager avec l’acteur de la menace pour déterminer quelles données ont été prises. »
Coveware a déclaré avoir vu de nombreuses preuves de victimes voyant tout ou partie de leurs données volées publiées après avoir payé pour les faire supprimer ; dans d’autres cas, les données sont publiées en ligne avant même que la victime n’ait la possibilité de négocier un accord de suppression de données.
« Contrairement à la négociation d’une clé de déchiffrement, la négociation de la suppression des données volées n’a pas de fin finie », poursuit le rapport. « Une fois qu’une victime reçoit une clé de déchiffrement, elle ne peut pas être retirée et ne se dégrade pas avec le temps. Avec des données volées, un acteur malveillant peut revenir pour un deuxième paiement à tout moment dans le futur. Les antécédents sont trop courts et les preuves que les défauts de paiement se produisent de manière sélective sont déjà en train de s’accumuler.
Image : Rapport Coveware Q3 2020.
La société a déclaré qu’elle conseillait aux clients de ne jamais payer de rançon pour la suppression de données, mais plutôt d’engager des avocats compétents en matière de protection de la vie privée, d’enquêter sur les données volées et d’informer tous les clients concernés conformément aux conseils d’un avocat et à l’application des lois sur la notification des violations de données.
Fabien Wosardirecteur technique d’une société de sécurité informatique Emsisoftont déclaré que les victimes de rançongiciels acceptent souvent les demandes d’extorsion de données lorsqu’elles tentent d’empêcher le public d’apprendre l’existence de la violation.
« En fin de compte, les rançongiciels sont une entreprise d’espoir », a déclaré Wosar. « L’entreprise ne veut pas que les données soient sous-évaluées ou vendues. Ils paient donc pour cela en espérant que l’auteur de la menace supprime les données. Techniquement parlant, qu’ils suppriment ou non les données n’a pas d’importance d’un point de vue juridique. Les données ont été perdues au moment où elles ont été exfiltrées.
Les victimes de ransomwares qui paient pour une clé numérique pour déverrouiller les serveurs et les systèmes de bureau chiffrés par le malware comptent également sur l’espoir, a déclaré Wosar, car il n’est pas rare non plus qu’une clé de déchiffrement ne parvienne pas à déverrouiller certaines ou toutes les machines infectées.
«Lorsque vous regardez beaucoup de notes de rançon, vous pouvez en fait voir des groupes aborder cela très directement et avoir des textes qui disent des trucs du genre, Ouais, tu es foutu maintenant. Mais si vous nous payez, tout peut revenir à avant qu’on vous baise.' »