L’utilisation rpandue des ransomwares est dsormais bien connue, mais les chercheurs de Rapid7 se sont penchs sur la monte d’un phnomne plus rcent, la « double extorsion ».
Lance par le groupe ransomware Maze, la double extorsion implique que les cybercriminels collectent les fichiers avant de les crypter. Puis, si l’organisation cible refuse de payer, ils menacent de divulguer des informations sensibles.
Les chercheurs pensent que l’adoption croissante des sauvegardes comme l’une des meilleures lignes de dfense contre le cryptage des fichiers par les ransomwares a probablement influenc cette tendance. Les sauvegardes permettent aux victimes de restaurer leurs fichiers sans payer de ranon, mais elles ne les protgent pas de la pression coercitive exerce par la divulgation des donnes dans le cadre de la double extorsion.
« Ils vous frappent avec un ransomware, puis ils ont un tas de fichiers qu’ils ont vols« , explique Erick Galinkin, chercheur principal en intelligence artificielle chez Rapid7. » Et si vous dites : ‘Nous avons des sauvegardes, nous n’allons pas vous payer’. Ils rpondent : « Nous avons tout cela et nous sommes heureux de le divulguer au monde si vous ne voulez pas payer ». Certains de ces fichiers vols sont rendus publics et il est presque toujours possible de payer la ranon avant que d’autres donnes ne soient divulgues. Ils font cette premire divulgation de donnes et disent : « Nous allons vous donner un peu plus de temps, maintenant que nous avons prouv que nous sommes en possession de ces donnes, avant de publier tout ce que nous vous avons pris ». L’intention est de faire pression sur les entreprises pour qu’elles paient. »
Les analystes de Rapid7 ont enqut sur 161 divulgations de donnes distinctes entre avril 2020 et fvrier 2022. Le groupe ransomware Maze, aujourd’hui disparu, tait le chef de file de la double tactique d’extorsion en 2020, reprsentant 30 % des 94 incidents signals entre avril et dcembre 2020. Cette « part de march » est remarquable puisque Maze n’a t actif que pendant 10 mois sur 12 cette anne-l avant de s’teindre dbut novembre 2020. Les autres principaux groupes de ransomware ayant divulgu des donnes cette anne-l sont REvil/Sodinokibi (19 %), Conti (14 %) et NetWalker (12 %).
Les donnes financires sont les plus souvent divulgues (63 %), suivies des donnes des clients/patients (48 %). La proprit intellectuelle est rarement divulgue en gnral (12 %), sauf dans le secteur pharmaceutique, o elle a t incluse dans 43 % des divulgations tudies.
Source : Rapid7
Et vous ?
Qu’en pensez-vous ?
Voir aussi :