Nous avons vu une tendance laide récemment de nouvelles techniques et entreprises de cybersécurité des affirmations claironnantes d’attaques de ransomwares contre des entreprises grandes et petites, apparemment basées sur un peu plus que le dire des gangs de ransomwares eux-mêmes. Une telle couverture est potentiellement très préjudiciable et fait habilement le jeu du crime organisé.
Souvent, la justification derrière la présentation de ces événements comme dignes d’intérêt est que les attaques impliquent des sociétés cotées en bourse ou des marques reconnaissables, et que les investisseurs et le public ont le droit de savoir. Mais en l’absence de toute information supplémentaire de la part de l’entreprise victime ou de ses partenaires susceptibles d’être touchés par l’attaque, ce genre d’histoires et d’articles de blog ressemble beaucoup à une poursuite en ambulance et à du sensationnalisme.
Actuellement, plus d’une douzaine de gangs criminels de rançongiciels ont créé leurs propres blogs pour publier des données sensibles sur les victimes. Quelques-uns de ces blogs publient régulièrement des communiqués de presse égoïstes, dont certains qualifient les victimes de «clients» et se présentent sous un jour bienfaisant. Habituellement, les articles de blog qui apparaissent sur les sites de rançon ne sont guère plus qu’un teaser – des captures d’écran de l’accès revendiqué aux ordinateurs, ou une poignée de documents qui exposent des informations exclusives ou financières.
L’objectif derrière la publication de ces teasers est clair, et les gangs de rançongiciels ne s’en cachent pas : faire publiquement pression sur l’entreprise victime pour qu’elle paie. Ceux qui refusent d’être extorqués doivent s’attendre à ce que d’énormes quantités de données sensibles de l’entreprise soient publiées en ligne ou vendues sur le dark web (ou les deux).
Enhardis par leurs succès, plusieurs gangs de rançongiciels ont récemment ont commencé à exiger deux rançons: Un paiement pour sécuriser une clé numérique qui peut déverrouiller des fichiers, des dossiers et des répertoires cryptés par leur logiciel malveillant, et un second pour éviter que des informations volées ne soient publiées ou partagées avec d’autres.
BreachTrace a cherché à mettre en évidence les incidents de ransomware dans les entreprises dont l’activité principale consiste à fournir des services techniques à d’autres, en particulier les fournisseurs de services gérés qui ont fait un travail exceptionnellement médiocre en communiquant sur l’attaque avec leurs clients.
Dans l’ensemble, j’ai essayé d’utiliser chaque histoire pour attirer l’attention sur les principales défaillances qui donnent fréquemment lieu à des infections par des ransomwares et pour offrir des informations sur la manière dont d’autres entreprises peuvent éviter un sort similaire.
Mais répéter simplement ce que les extorqueurs professionnels ont publié sur leur blog à propos des victimes de la cybercriminalité revient à fournir de l’aide et du réconfort à un ennemi qui n’a besoin ni de l’un ni de l’autre.
Peut-être n’êtes-vous pas d’accord, chers lecteurs ? N’hésitez pas à vous exprimer dans les commentaires ci-dessous.