Les cybercriminels de Cl0p ont-ils fait le hold-up numérique du siècle avec leur campagne contre les utilisateurs du logiciel de transfert sécurisé MOVEit ? Pour le spécialiste des négociations Coveware, la réponse est malheureusement oui. Dans un article récent, l’entreprise estime ainsi que le groupe criminel devrait probablement réussir à extorquer entre 75 et 100 millions de dollars avec cette attaque.
Une somme « dangereuse et stupéfiante », supérieure au budget annuel canadien dévolu aux actions offensives, d’environ 53 millions de dollars, observe l’entreprise. Pour rappel, ces cybercriminels ont exploité une vulnérabilité non connue, une injection SQL qui leur a permis de voler des documents échangés via MOVEit. Avant ensuite de revendiquer de manière tonitruante le piratage.
Rançons très élevées
Pour arriver à ces chiffres, Coveware a croisé le nombre de victimes et les rançons probables. Selon l’entreprise, la campagne de Cl0p devrait ainsi toucher environ un millier de victimes directement. Le chiffre a été revu à la hausse avec les nombreuses victimes indirectes. Au dernier décompte, plus de 455 organisations victimes – dont une poignée d’entreprises françaises – ont déjà été recensées.
Mais si un faible pourcentage de victimes devrait accepter de payer la rançon demandée, celles-ci s’annoncent très élevées. Les cybercriminels de Cl0p se sont moqués par exemple d’une proposition de versement de 4 millions de dollars de l’une de leurs victimes, une somme élevée qu’ils ont jugé pourtant trop basse. Ce chiffre est à comparer au montant moyen des rançons payées observé par Coveware, évalué à 740.000 dollars au second trimestre 2023, soit une augmentation de 126% par rapport au premier trimestre.
Sites web
Pour appuyer ses lucratives demandes d’extorsion, Cl0p vient d’ailleurs de lancer des sites web dédiés aux fuites de données, organisation par organisation. Ces portails accessibles à tout un chacun référencent sobrement des séries de liens vers les données volées à télécharger. Comme le relève Bleeping computer, Cl0p s’inspire ainsi d’Alphv/BlackCat, qui avait déjà procédé de la sorte l’an passé. Cette façon de faire permet aux cybercriminels de pousser à la hausse l’exposition de leur leak.
La fuite de données n’est ainsi dès lors plus limitée aux internautes sachant installer le navigateur Tor et retrouver l’adresse en .onion, l’espace privilégié par les cybercriminels du rançongiciel. Sauf que contrairement à ces derniers sites, plus durs à atteindre par les polices, les sites web ont une durée de vie limitée. En témoigne la mise hors ligne très rapide des premières pages publiées par Cl0p. Mais même si cette expérimentation est un peu ratée – le débit poussif des sites du clearweb a été raillé par des internautes -, les cybercriminels de Cl0p peuvent visiblement se permettre des échecs au vu de la masse de données qu’ils ont amassée.