Les cybercriminels sont de plus en plus agressifs dans leurs efforts pour maximiser les perturbations et forcer le paiement des demandes de rançon, et une nouvelle tactique d’extorsion est à l’œuvre.
Début novembre, le célèbre gang de ransomwares ALPHV, également connu sous le nom de BlackCat, a tenté une tactique d'extorsion unique en son genre : militariser les nouvelles règles de divulgation des violations de données du gouvernement américain contre l'une des propres victimes du gang. ALPHV a déposé une plainte auprès de la Securities and Exchange Commission (SEC) des États-Unis, alléguant que le fournisseur de prêts numériques MeridianLink n'avait pas divulgué ce que le groupe cybercriminel a appelé « une violation importante qui compromet les données et la sécurité des clients. le groupe s'est attribué le mérite.
"Nous souhaitons attirer votre attention sur un problème préoccupant concernant la conformité de MeridianLink aux règles de divulgation des incidents de cybersécurité récemment adoptées", a écrit ALPHV. "Il a été porté à notre attention que MeridianLink n'a pas déposé la divulgation requise au titre de l'article 1.05 du formulaire 8-K dans les quatre jours ouvrables stipulés, comme l'exigent les nouvelles règles de la SEC."
La dernière tentative d'extorsion de l'ALPHV est le premier exemple de ce qui devrait être une tendance dans les mois à venir, maintenant que les règles sont entrées en vigueur. Bien que nouvelle, ce n’est pas la seule tactique agressive utilisée par les gangs de ransomwares et d’extorsion.
Les pirates informatiques, généralement connus pour déployer des ransomwares, se tournent de plus en plus vers des tactiques de « double extorsion », selon lesquelles, en plus de chiffrer les données de la victime, les gangs menacent de divulguer les fichiers volés à moins qu'une somme ne soit payée. Certains vont plus loin avec «triple « attaques d'extorsion » qui, comme leur nom l'indique, les pirates informatiques utilisent une approche à trois volets pour extorquer leurs victimes en étendant les menaces et les demandes de rançon aux clients, fournisseurs et associés de la victime d'origine. Ces tactiques ont été utilisées par les pirates informatiques à l'origine des attaques massives et puissantes contre MOVEit, qui constituent une évolution clé dans la tendance aux tentatives d'extorsion sans cryptage.
Même si les définitions ambiguës ne semblent pas être le plus gros problème de cybersécurité auquel sont confrontées les organisations aujourd’hui, la distinction entre ransomware et extorsion est importante, d’autant plus que la défense contre ces deux types de cyberattaques peut varier considérablement. Cette distinction aide également les décideurs politiques à savoir où évoluent les ransomwares et si les politiques anti-ransomware fonctionnent.
Quelle est la différence entre un ransomware et une extorsion ?
Le groupe de travail sur les ransomwares décrire le ransomware est une « forme évolutive de cybercriminalité, par laquelle les criminels compromettent à distance les systèmes informatiques et exigent une rançon en échange de la restauration et/ou de la non-exposition des données ».
En réalité, les attaques de ransomwares peuvent avoir un large éventail d’impacts. Les experts en ransomware Allan Liska, analyste des renseignements sur les menaces chez Recorded Future, et Brett Callow, analyste des menaces chez Emsisoft, ont partagé dans une analyse que cette définition large du ransomware peut s'appliquer aux deux « escroqueries », nous téléchargeons le contenu de leur instance Elasticsearch non sécurisé avec 50 $. attaques » aux « attaques perturbatrices basées sur le cryptage qui menacent la vie des hôpitaux ».
"Ce sont clairement des animaux très différents", ont déclaré Liska et Callow. "L'un est un pirate opportuniste qui vole votre livraison Amazon, tandis que l'autre est une équipe de criminels violents qui s'introduisent par effraction dans votre maison et terrorisent votre famille avant de prendre tous vos biens."
Les chercheurs affirment qu’il existe des similitudes entre les attaques de « chiffrement et d’extorsion » et les « attaques d’extorsion uniquement », comme le recours à des intermédiaires qui vendent l’accès aux réseaux piratés. Mais il existe également des distinctions importantes entre les deux, en particulier en ce qui concerne les clients, les fournisseurs et les clients de la victime, dont les propres données sensibles peuvent être piégées dans des attaques uniquement d'extorsion.
« Nous voyons cela se produire à plusieurs reprises, lorsqu’un acteur menaçant classe le données volées pour trouver l'organisation la plus grande ou la plus connue qu'il peut trouver et prétend avoir attaqué avec succès cette organisation. "Ce n'est pas une tactique nouvelle", ont déclaré Liska et Callow, citant un exemple de la façon dont un gang de ransomwares a affirmé avoir piraté un grand géant de la technologie, alors qu'en réalité il avait volé des données à l'un de ses fournisseurs de technologie les moins connus.
« C'est une chose d'empêcher un attaquant de chiffrer des fichiers sur votre réseau, mais comment protéger l'ensemble de votre chaîne d'approvisionnement en données ? Liska et Callow ont dit. « En fait, de nombreuses organisations ne pensent pas à leur chaîne d’approvisionnement en données… mais chaque maillon de cette chaîne d’approvisionnement est vulnérable aux attaques de vol et d’extorsion de données. »
Une meilleure définition du ransomware est nécessaire
Même si les autorités découragent depuis longtemps les organisations piratées de payer des demandes de rançon, ce n’est pas toujours une décision facile pour les entreprises touchées par les pirates.
Dans les attaques de chiffrement et d’extorsion, les entreprises ont la possibilité de payer une rançon pour obtenir une clé qui décrypte vos fichiers. Mais lorsque vous payez des pirates qui utilisent des tactiques d’extorsion agressives pour supprimer vos fichiers volés, rien ne garantit que les pirates le feront réellement.
Cela a été démontré lors de la récente attaque de ransomware contre Caesars Entertainment, qui a payé des pirates informatiques pour tenter d'empêcher la divulgation de données volées. De son propre aveu, Caesars a déclaré aux régulateurs que « nous avons pris des mesures pour garantir que l'acteur non autorisé supprime les données volées, même si nous ne pouvons pas garantir ce résultat ».
"En fait, il faut supposer que ce ne sera pas le cas", ont déclaré Liska et Callow, faisant référence aux affirmations selon lesquelles les pirates supprimeraient les données volées.
« Une meilleure définition du ransomware, qui prend en compte la distinction entre les différents types d'attaques, permettra aux organisations de mieux planifier et répondre à tout type d'attaque de ransomware, qu'elle survienne au sein de leur propre réseau ou celui d'un tiers » Liska et Callow commentaire.
