Le groupe de cybercriminels Dark Angels a frappé un grand coup en début d’année. Les pirates ont persuadé une grande multinationale de verser une rançon record en échange de ses données. Le gang se distingue par une stratégie très différente de celle des autres professionnels de l’extorsion.
Les cybercriminels de Dark Angels, un gang spécialisé dans l’extorsion, sont parvenus à négocier le versement d’une rançon de 75 millions de dollars en début d’année. Les chercheurs de Zscaler ont révélé l’information dans leur rapport annuel consacré au monde des ransomwares le mois dernier. Le rapport ne mentionne pas l’identité de la victime. On sait seulement qu’il s’agit d’une entreprise du classement Fortune 500.
À lire aussi : La France arrête trois cybercriminels après des attaques par ransomware
Un record pour les cybercriminels
Sans surprise, la rançon a été versée en cryptomonnaies. Les experts de Chainalysis ont en effet constaté le « plus gros paiement de ransomware jamais enregistré » par le biais de la blockchain. Les cybercriminels ont exigé un paiement en Bitcoin, une devise numérique dont les échanges sont facilement traçables sur la chaîne de blocs.
We can confirm that early this year we saw the largest ransomware payment ever at $75M. The « big game hunting » trend we discussed in our 2024 crime report – fewer attacks on larger targets with deeper pockets – is becoming more pronounced. https://t.co/Z0yvg3Zvp2 pic.twitter.com/4FsivojtA5
— Chainalysis (@chainalysis) July 30, 2024
Il s’agit d’un montant record pour l’industrie des ransomwares. Le précédent record était détenu par les pirates derrière l’attaque contre CNA Financial, l’une des plus grandes compagnies d’assurance des États-Unis. En 2021, la société a accepté de verser 40 millions de dollars aux pirates d’Evil Corp qui ont paralysé son système informatique. Dans la foulée, les attaquants avaient subtilisé une montagne de données. Les cybercriminels ont utilisé un ransomware appelé Phoenix Locker lors de l’attaque.
Évoquons aussi l’offensive orchestrée par ScatteredSpider l’an dernier. Les hackers sont en effet parvenus à convaincre les administrateurs du Caesars Palace de Las Vegas de se délester de 15 millions de dollars. En échange, les pirates ont accepté de rendre l’accès au système informatique du casino. Initialement, les cybercriminels exigeaient 30 millions de dollars. Caesars Palace a pu baisser le montant de la rançon durant les négociations.
Ces rançons élevées s’inscrivent dans le cadre d’une augmentation progressive des montants réclamés par les pirates. De plus en plus souvent, les cybercriminels visent les entreprises qui disposent de solides moyens financiers, surtout dans le monde de la santé. Les cybercriminels ciblent en effet les hôpitaux, les cliniques ou les compagnies d’assurance en dérobant toutes les données sensibles relatives à des patients. Avec ces informations en main, ils peuvent négocier des rançons pharaoniques. C’est ce qu’il s’est passé lors de la cyberattaque contre UnitedHealth Group, une importante compagnie d’assurances spécialisée dans la santé aux États-Unis. Celle-ci a accepté de verser 22 millions de dollars en cryptomonnaies pour éviter une fuite massive de données. En vain. Peu après le vol, les données se sont retrouvées sur le dark web.
En parallèle, le nombre d’attaques a considérablement baissé. Cette baisse est notamment due à la multiplication des opérations de police. Ces derniers mois, les forces de l’ordre ont frappé à plusieurs reprises les géants de l’extorsion, dont l’incontournable Lockbit.
Une stratégie d’extorsion inédite
En règle générale, les spécialistes de l’extorsion se servent d’un ransomware pour chiffrer toutes les données stockées sur l’ordinateur de leurs cibles. Les données chiffrées sont inaccessibles à leur propriétaire. Pour récupérer un accès, la victime doit s’acquitter d’une rançon. A contrario, les cybercriminels de Dark Angels ne chiffrent pas les données des cibles.
Les pirates vont plutôt voler les données, tout en laissant les systèmes informatiques opérationnels. En coulisses, ils vont alors menacer la victime de divulguer les informations. Pour éviter une fuite, la cible sera tentée de verser la rançon. Ce type d’offensives passe plus aisément sous le radar que les attaques par ransomware traditionnelles, qui s’accompagnent d’une perturbation des services. De facto, les entreprises, libérées de la pression de l’opinion publique, sont également plus enclines à collaborer avec leurs assaillants. Pour orchestrer l’attaque, les hackers se servent de ransomwares programmés par d’autres gangs, comme Babuk.
« Ils ne veulent vraiment pas faire la une des journaux ou provoquer des perturbations commerciales. Il s’agit de gagner de l’argent et d’attirer le moins d’attention possible », explique Brett Stone-Gross, directeur principal du renseignement sur les menaces chez Zscaler, au journaliste Brian Krebs.
Apparu en mai 2022, le gang Dark Angels est néanmoins responsable de « certaines des plus grandes attaques de ransomware », notamment contre « de grandes entreprises industrielles, technologiques et de télécommunications ».
« Dans la plupart des cas, le groupe vole une quantité massive d’informations, généralement entre 1 et 10 To. Pour les grandes entreprises, le groupe a exfiltré entre 10 et 100 To de données, ce qui peut prendre des jours, voire des semaines à transférer », ajoute Zscaler.
D’après les experts de Zscaler, il est probable que le succès de Dark Angels inspire d’autres groupes spécialisés dans les attaques par ransomware. On peut s’attendre à ce que d’autres gangs se mettent à « utiliser des tactiques similaires » dans un avenir proche.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.