Certaines organisations victimes des gangs de ransomwares Royal et Akira ont été ciblées par un acteur menaçant se faisant passer pour un chercheur en sécurité qui a promis de pirater l’attaquant d’origine et de supprimer les données volées des victimes.
Les opérations de ransomware Royal et Akira utilisent la double tactique d’extorsion – crypter les systèmes des victimes après avoir volé des informations et menacer d’une fuite de données à moins qu’une rançon ne soit payée.
La société de cybersécurité Arctic Wolf a déclaré avoir enquêté sur « plusieurs cas » où des victimes des deux groupes de ransomwares qui ont payé une rançon ont été approchées par un acteur menaçant prétendant être un pirate éthique ou un chercheur en sécurité ayant une compréhension approfondie du domaine.
Le faux chercheur a proposé de fournir une preuve d’accès aux données volées toujours sur les serveurs de l’attaquant et a déclaré qu’il pouvait les supprimer moyennant des frais allant jusqu’à cinq Bitcoins (environ 190 000 dollars à l’époque).
Le rapport d’Arctic Wolf présente deux cas d’octobre et novembre 2023, où le cybercriminel a contacté des organisations qui avaient été compromises par le ransomware Royal et Akira.
Dans le premier cas, l’escroc s’est fait passer pour le « Groupe latéral éthique » (ESG) et a initialement attribué à tort l’attaque au gang « TommyLeaks », passant plus tard à un récit revendiquant l’accès au serveur de Royal.
Il est à noter que cette victime avait engagé des négociations avec l’acteur du ransomware un an auparavant, en 2022.
Dans le deuxième incident, l’escroc a utilisé le surnom de « xanonymoux » et a proposé de supprimer des fichiers sur les serveurs d’Akira ou de fournir un accès au serveur de l’acteur.
Cependant, dans une communication plusieurs semaines avant l’offre de piratage, Akira a déclaré qu’ils n’avaient exfiltré aucune donnée et que leur attaque n’avait fait que crypter les systèmes piratés.
Arctic Wolf rapporte que la communication initiale via un programme de messagerie instantanée contenait dix phrases courantes et que la même méthode a été utilisée pour fournir la preuve d’accès aux données volées. Cela suggère que le même individu était derrière les deux tentatives.
Les attaques par ransomware présentent un réseau complexe de défis pour les victimes, s’étendant bien au-delà de la crise immédiate des données cryptées et volées, ayant un effet durable.
Ces tentatives d’escroquerie mettent en évidence un autre aspect du problème à plusieurs niveaux et constituent des risques supplémentaires qui peuvent alourdir le fardeau financier des victimes de ransomwares.