Le groupe criminel à l’origine de l’entreprise de rançongiciel REvil a commencé à vendre aux enchères des données sensibles volées à des entreprises touchées par ses logiciels malveillants. Cette décision marque une escalade des tactiques visant à contraindre les victimes à payer – et à faire honte publiquement à celles qui ne le font pas. Mais cela peut également signaler que les fournisseurs de ransomwares recherchent de nouvelles façons de tirer profit de leurs crimes alors que les entreprises victimes luttent simplement pour garder les lumières allumées pendant le ralentissement économique sans précédent causé par la pandémie de COVID-19.
Au cours des dernières 24 heures, les escrocs responsables de la propagation du logiciel malveillant de rançon « REvil » (alias « Sodin » et « Sodinokibi“) ont utilisé leur Dark Web « Happy Blog » pour annoncer sa toute première vente aux enchères de données volées, vendant prétendument des fichiers provenant d’une société de production agricole canadienne qui, selon REvil, a jusqu’à présent refusé ses demandes d’extorsion.
Une capture d’écran partielle du blog Dark Web du groupe REvil ransomware.
La page d’enchères de l’entreprise victime indique qu’un enchérisseur retenu obtiendra trois bases de données et plus de 22 000 fichiers volés à l’entreprise agricole. Il fixe le dépôt minimum à 5 000 $ en monnaie virtuelle, avec un prix de départ de 50 000 $.
Avant cette vente aux enchères, REvil – comme de nombreux autres gangs de rançongiciels – a cherché à faire pression sur les entreprises victimes pour qu’elles paient principalement en publiant une poignée de fichiers sensibles volés à leurs cibles d’extorsion et en menaçant de divulguer plus de données à moins que et jusqu’à ce que la demande de rançon soit satisfaite. .
Les experts disent que la vente aux enchères est un signe que les groupes de rançongiciels peuvent ressentir le pincement financier de la crise économique actuelle et recherchent de nouvelles façons d’extraire de la valeur des victimes qui sont désormais moins susceptibles ou capables de payer une demande de rançon.
Laurent Abramséditeur du site Web d’aide et d’actualité informatique BipOrdinateura déclaré que si certains groupes de rançongiciels ont l’habitude de vendre des données de victimes sur des forums de cybercriminalité, cette dernière initiative de REvil pourrait n’être qu’une autre tactique utilisée par les criminels pour forcer les victimes à négocier le paiement d’une rançon.
« Le problème est que beaucoup d’entreprises victimes n’ont tout simplement pas l’argent [to pay ransom demands] en ce moment », a déclaré Abrams. « D’autres ont compris le besoin de bonnes sauvegardes et n’ont probablement pas besoin de payer. Mais peut-être que si la victime voit ses données faire l’objet d’une enchère active, elle sera peut-être plus encline à payer la rançon.
Il existe des preuves suggérant que le récent ralentissement économique provoqué par le COVID-19 a eu un impact mesurable sur les paiements des ransomwares. Un rapport publié à la mi-avril par une société de recherche sur les crypto-monnaies Analyse en chaîne ont constaté que les paiements de rançongiciels « ont considérablement diminué depuis l’intensification de la crise du COVID-19 aux États-Unis et en Europe début mars ».
Abrams a déclaré que d’autres groupes de rançongiciels ont opté pour différentes méthodes pour augmenter les paiements aux victimes, notant qu’un gang important extorque désormais doublement les cibles – exigeant un montant de paiement en échange d’une clé numérique qui peut déverrouiller les fichiers brouillés par le logiciel malveillant, et un autre paiement en échange pour une promesse de supprimer définitivement les données volées à la victime.
La menace implicite est que les victimes qui paient pour récupérer leurs fichiers mais ne mordent pas sur le paiement de la suppression peuvent s’attendre à voir leurs données privées échangées, publiées ou vendues sur le Dark Web.
« Certains d’entre eux [extortion groups] ont déclaré que s’ils n’étaient pas payés, ils vendraient les données de la victime sur le Dark Web, afin de récupérer leurs coûts », a déclaré Abrams. « D’autres facturent maintenant quelques-uns non seulement pour le décrypteur de ransomware, mais aussi des frais pour supprimer les données de la victime. C’est donc une double vig.
Le FBI et plusieurs entreprises de sécurité ont conseillé aux victimes de ne payer aucune demande de rançon, car cela ne fait qu’encourager les attaquants et, dans tous les cas, peut ne pas permettre de retrouver l’accès aux fichiers cryptés. Dans la pratique, cependant, de nombreuses sociétés de conseil en cybersécurité exhortent discrètement leurs clients à dire que payer est le moyen le plus rapide de revenir au statu quo.
Voici quelques conseils qui peuvent vous aider à réduire la probabilité que vous ou votre organisation soyez victime d’une attaque par ransomware :
-Patch, tôt et souvent : De nombreuses attaques de ransomware exploitent des failles de sécurité connues dans les serveurs et les postes de travail.
-Désactiver RDP : Abréviation de Remote Desktop Protocol, cette fonctionnalité de Windows permet à un système d’être administré à distance via Internet. Un nombre ridicule d’entreprises – en particulier les prestataires de soins de santé – sont touchées par des ransomwares car elles laissent RDP ouvert à Internet et sécurisé avec des mots de passe faciles à deviner. Et il existe un certain nombre de services criminels qui vendent l’accès à des installations RDP brutales.
-Filtrer tous les e-mails : Investissez dans des systèmes de sécurité capables de bloquer les fichiers exécutables au niveau de la passerelle de messagerie.
-Isolez les systèmes et données critiques : Cela peut être plus difficile qu’il n’y paraît. Il peut être utile de faire appel à une entreprise de sécurité compétente pour s’assurer que tout est bien fait.
-Sauvegarder les fichiers clés et les bases de données : Gardez à l’esprit que les rançongiciels peuvent crypter tous les fichiers ou dossiers du réseau ou du cloud qui sont mappés et auxquels une lettre de lecteur a été attribuée. La sauvegarde sur un système secondaire auquel aucune lettre de lecteur n’a été attribuée ou qui est déconnecté lorsqu’il ne sauvegarde pas de données est essentielle. L’ancienne règle de sauvegarde « 3-2-1 » entre en jeu ici : dans la mesure du possible, conservez trois sauvegardes de vos données, sur deux types de stockage différents, avec au moins une sauvegarde hors site.
-Désactiver les macros dans Microsoft Office : Bloquer le contenu externe dans les fichiers Office. Informez les utilisateurs que les rançongiciels réussissent très souvent uniquement lorsqu’un utilisateur ouvre une pièce jointe Office envoyée par e-mail et active manuellement les macros.
-Activer l’accès contrôlé aux dossiers : Créer des règles pour interdire l’exécution de fichiers exécutables dans Windows à partir de dossiers de profils d’utilisateurs locaux (App Data, Local App Data, ProgramData, Temp, etc.)
Des sites comme nomoreransom.org distribuer des outils de décryptage gratuits qui peuvent aider certaines victimes de rançongiciels à récupérer des fichiers sans payer de demande de rançon.