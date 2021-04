La note de rançon était à la fois provocante et inquiétante: « Aujourd’hui, nous, le groupe REvil, allons fournir des données sur les prochaines versions de la société aimée de beaucoup », ont écrit les pirates informatiques.

Dans la note publiée sur le dark web, le groupe a déclaré au monde entier qu’il avait piraté un fournisseur Apple appelé Quanta Computer et qu’il voulait une rançon de 50 millions de dollars, sinon il publierait des documents internes sensibles. « Tim Cook peut dire merci Quanta », a écrit REvil.

La tentative d’extorsion, qui a eu lieu au début de cette semaine, a représenté une escalade significative pour un collectif de hackers bien connu. Et les experts disent à CNBC que cela pourrait présager une nouvelle ère d’attaquants de ransomwares enhardis, protégés par le leader russe Vladimir Poutine et habilités à s’attaquer aux plus grandes entreprises du monde.

Les experts en cybersécurité aux États-Unis affirment que le groupe a une longue fiche d’activité criminelle contre les entreprises occidentales. Leur analyse suggère que REvil – prononcé comme la lettre «R» suivie du mot «mal» – est en grande partie composé de russophones natifs et est probablement situé dans un ancien État soviétique. Qui qu’ils soient, ils ont le goût de l’humour noir: REvil publie ses documents volés sur un site du dark web qu’il appelle «Happy Blog».

« Nous savons qu’ils sont très probablement protégés par les services de renseignement russes ou le gouvernement russe, comme le sont la plupart des groupes de ransomwares, ce qui leur a permis de prospérer au cours des 18 derniers mois », a déclaré Marc Bleicher de Arete Incident Response, une entreprise de cybersécurité spécialisée dans négociations avec des hackers criminels. Bleicher dit que son entreprise a traité avec REvil 32 fois au cours des 90 derniers jours.

« Je pense, vous savez, d’après ce que nous avons vu jusqu’à présent, que ce n’est peut-être que la pointe de l’iceberg au cours des derniers mois, et ce que vous allez commencer à voir, ce sont des organisations de la même taille. et la stature d’Apple », a déclaré Bleicher.

Cela signifie que plus de PDG doivent se préparer à l’impact des ransomwares et aux tactiques d’intimidation terriblement directes de REvil. Bleicher a déclaré qu’une signature du groupe volait le numéro de téléphone portable personnel d’un PDG sur les ordinateurs de l’entreprise, puis appelait à plusieurs reprises ce PDG pour le narguer personnellement au sujet de la perte de données et exiger des paiements énormes.

La société de Bleicher a analysé 173 attaques REvil précédentes et dit qu’elle peut voir certains modèles dans le fonctionnement du gang. Une chose devient claire: attaquer Apple par son nom – et exiger 50 millions de dollars – est à une échelle bien différente de ce que REvil a opéré dans le passé. Trente et un pour cent des entreprises attaquées par le groupe ont été dans les services professionnels, pas dans la technologie, a constaté Arete. Dix-neuf pour cent ont été dans les soins de santé et 16% dans le secteur manufacturier.

La demande moyenne de rançon a également été beaucoup plus faible dans le passé, a constaté Arete, à un peu moins de 728000 dollars. Après des négociations sur le prix, la rançon moyenne réellement payée est encore inférieure à cela: un peu plus de 129 000 $.

C’est une opération remarquablement similaire à celle d’une entreprise, avec des bureaux de service client, des équipes de support logiciel et même un marché de style Craigslist pour recruter de nouveaux pirates dans l’entreprise.

Bleicher a fourni à CNBC une offre d’emploi pour REvil qu’il a trouvée sur le dark web. Écrit en russe, il dit: « Nous avons une position pour une personne qui accède aux réseaux, qui ont déjà des accès actifs. Lundi, nous annoncerons l’une de nos plus grandes attaques. Nous travaillons 24 heures sur 24, 7 jours sur 7. Nous sommes stables. Nous gagnons de l’argent – beaucoup d’argent. Nous vous attendent dans notre message direct. «

Charles Carmakal, vice-président principal de la société de cybersécurité FireEye, a déclaré que, selon son estimation approximative, le gang avait collecté un total de 100 millions de dollars jusqu’à présent. Cela signifie qu’une rançon de 50 millions de dollars serait un énorme pas en avant pour le groupe.

Mais tout dans ce monde criminel est négociable.

«J’ai vu d’autres organisations se voir demander 50 millions de dollars», a déclaré Carmakal. « Personne ne paie vraiment autant d’argent de façon réaliste. Ils essaieront de le négocier à un montant un peu plus raisonnable et réalisable s’ils décident de payer. »

Carmakal a déclaré que l’énorme demande de rançon et la cible très médiatisée dans ce cas pourraient être davantage une question d’attention – et d’effrayer les futures victimes – que de cette seule affaire. Une possibilité est que les railleries et la note de rançon très médiatisées n’ont été rendues publiques qu’après une négociation privée qui ne s’est pas bien terminée du point de vue du pirate informatique. Alors maintenant, ils en tirent parti pour la publicité et l’intimidation.

«Ces groupes ont tendance à amplifier leurs messages et à essayer de contraindre les victimes, généralement après qu’ils ne se sentent pas prêts à payer», a déclaré Carmakal.

Mais pourquoi les entreprises envoient-elles ces énormes paiements à des gangs criminels? Carmakal a déclaré que les entreprises examinent l’ampleur des dommages potentiels et concluent souvent qu’elles n’ont pas le choix.

«De nombreuses organisations se sentent obligées de payer parce qu’elles ne veulent pas que ces données soient diffusées», a-t-il déclaré. « Ils estiment qu’ils ont l’obligation envers leurs actionnaires ou partenaires ou envers le client d’empêcher que ces données ne parviennent sur le marché libre. »

La dernière attaque REvil est toujours en cours. Le gang a exigé le paiement d’Apple avant le 1er mai et a déclaré qu’il publierait plus de données chaque jour. Jusqu’à présent, cependant, aucune autre donnée Apple n’a été transférée sur le Web sombre.

Cela pourrait être une indication, disent les experts, que les négociations sur le paiement de la rançon sont déjà en cours.