Les groupes de ransomware exploitent les données volées pour augmenter la pression sur les cibles qui refusent de payer selon un rapport Sophos
août 2024 par Sophos
Sophos publie un nouveau rapport sur le dark web intitulé Turning the Screws : The Pressure Tactics of Ransomware Gangs. Cette étude revient en détail sur la manière dont les cybercriminels se servent des données volées comme d’une arme pour augmenter la pression sur les cibles qui refusent de payer les rançons. Ces groupes menacent notamment de divulguer les coordonnées (doxing) de membres de familles de PDG et de chefs d’entreprise, ainsi que de signaler aux autorités toute information sur des activités commerciales illégales qu’ils auraient découverte dans les données volées.
Dans ce rapport, l’équipe Sophos X-Ops partage des messages publiés sur le dark web dans lesquels les groupes de ransomware qualifient leurs cibles « d’irresponsables et de négligentes », et encouragent même parfois des victimes dont les données personnelles ont été volées à poursuivre leur employeur en justice.
« En décembre 2023, suite au piratage des casinos MGM, Sophos a remarqué une propension croissante des groupes de ransomware à transformer les médias en un outil dont ils peuvent se servir non seulement pour augmenter la pression sur leurs victimes, mais aussi pour contrôler les faits et rejeter la faute sur d’autres. Nous voyons également des groupes désigner les chefs d’entreprise comme « responsables » des attaques de ransomware contre les structures ciblées. Dans un message, les attaquants ont publié la photo d’un chef d’entreprise avec des cornes de diable, ainsi que son numéro de sécurité sociale. Dans un autre post, ils ont encouragé les employés à demander une « compensation » à leur entreprise et, dans d’autres cas, ils ont menacé l’entreprise victime d’informer ses clients, ses partenaires et ses concurrents de la compromission de ses données. Ces actions créent une avalanche d’accusations qui augmente la pression sur les entreprises pour les obliger à payer et peut aggraver les dommages réputationnels causés par une attaque », explique Christopher Budd, directeur, Threat Research, Sophos.
L’équipe Sophos X-Ops est également tombée sur plusieurs messages détaillant l’intention des groupes de ransomware d’analyser les données volées à la recherche d’informations qu’ils pourraient exploiter au cas où les entreprises refuseraient de payer. À titre d’exemple, le groupe WereWolves indique dans un message que toute donnée volée fait l’objet « d’une évaluation sur le plan juridique et pénal, d’une évaluation sur le plan commercial et d’une évaluation en termes d’informations pouvant bénéficier à la concurrence ». Un autre exemple est celui du groupe Monti qui affirme avoir surpris un employé d’une entreprise ciblée en train de rechercher des contenus pédophiles et menacé de transmettre ces informations à la police si l’entreprise ne payait pas la rançon.
Ces publications s’inscrivent dans le cadre d’une tendance plus large des criminels à vouloir extorquer de l’argent aux entreprises disposant de données ultra-sensibles d’employés, de clients ou de patients (dossiers psychologiques, dossiers médicaux d’enfants, « informations sur les problèmes sexuels des patients », « images de patients dénudés », etc.). Lors d’une attaque de ransomware, le groupe Qiulong a ainsi publié les données personnelles de la fille d’un PDG et un lien vers son profil Instagram.
« Les groupes de ransomware sont de plus en plus intrusifs et audacieux dans la nature des ressources qu’ils utilisent comme arme et la manière dont ils les exploitent. Pour mettre davantage la pression sur les entreprises, ils ne se contentent plus seulement de voler des données et de menacer de les divulguer, mais ils les analysent activement pour voir comment maximiser les dégâts et créer de nouvelles opportunités d’extorsion. Autrement dit, en plus de s’inquiéter de l’espionnage industriel, du vol des secrets industriels et des activités illégales des employés, les entreprises doivent désormais aussi se préoccuper de ces problèmes liés aux cyberattaques », précise M. Budd.