Marc Bleicher est un négociateur d’otages – mais il n’essaye pas de sauver des otages humains, il essaie de sauver des données. Bleicher, directeur général de la société de conseil en cybersécurité Arete Incident Response, est un spécialiste qui aide les entreprises à gérer les ransomwares – le type de cyberattaque dans laquelle les pirates informatiques enferment les ordinateurs d’une entreprise puis exigent un paiement pour annuler le cryptage. Il a donné à CNBC un regard rare et exclusif dans un monde sombre où les entreprises américaines se retrouvent à payer des millions de dollars à des criminels connus. C’est un coin de la pègre criminelle qui a connu une croissance explosive. Selon un rapport de Chainalysis, le montant total payé par les victimes de ransomware a augmenté de 336% en 2020 pour atteindre près de 370 millions de dollars de crypto-monnaie. Et certains grands acteurs enregistrent d’énormes gains: le rapport a révélé que les preneurs d’otages numériques sont dominés par de grands acteurs qui récoltent des millions de dollars par an. Seulement 199 adresses de dépôt de crypto-monnaie reçoivent 80% de tous les fonds envoyés par des adresses de ransomware en 2020, a découvert Chainalysis. Tous ces paiements ont créé un marché clandestin où les criminels et leurs victimes dans les entreprises américaines doivent se réunir pour parvenir à des conditions et échanger des fonds.

Marc Bleicher Source: CNBC

Les ransomwares ont tourmenté les petites et grandes entreprises et provoquent des fermetures de plus en plus coûteuses dans les gouvernements des comtés, les écoles et même les hôpitaux. En juin, par exemple, Magellan Health a annoncé avoir été touchée par une attaque qui a finalement touché plus de 300 000 personnes. Le district scolaire du comté de Clark, dans le Nevada, a révélé une attaque en août qui aurait pu exposer les données des élèves. Et en juillet, la ville de Lafayette, au Colorado, a payé une rançon de 45 000 dollars pour reprendre le contrôle de ses systèmes.

Appelez ça l’économie de l’extorsion

Bleicher est un intermédiaire dans cette économie, se retrouvant fréquemment les doigts sur un clavier à négocier directement avec les méchants. Il est également la personne qui envoie les paiements lorsque les entreprises décident de payer la rançon. « Certains clients sont extrêmement en colère », a-t-il déclaré à CNBC. « Beaucoup de ces victimes sont également sous le choc. » Mais ils partagent tous un objectif, a-t-il ajouté: « faire cesser l’hémorragie et faire disparaître le plus rapidement possible ». Bleicher a déclaré qu’il avait supervisé le paiement de centaines de millions de dollars d’entreprise à des pirates informatiques criminels et qu’il voyait les demandes de rançon de plus en plus importantes. Un pirate informatique a récemment demandé 70 millions de dollars à l’un de ses clients, bien qu’il ait déclaré que le client avait trouvé un moyen de ne pas payer. Mais il a expliqué que même les demandes de rançon aussi élevées sont presque toujours négociables.

Le casse

La note de rançon, comme tout le reste dans ce secteur, est numérique. « Votre réseau a été infecté! » lance l’avertissement d’une récente note de rançon que Bleicher a partagée avec CNBC. « Suivez les instructions ci-dessous mais rappelez-vous que vous n’avez pas beaucoup de temps. » La note comportait un compte à rebours, exposait un prix et prévenait: « Si vous ne payez pas à temps, le prix sera doublé ». Dans ce cas, les pirates ont exigé des paiements en monero, une crypto-monnaie particulièrement difficile à retracer, privilégiée par les pirates. Dans une autre vraie note de rançon partagée par Arete, les pirates ont déclaré: « Pour déverrouiller des fichiers, vous devez payer 3,8 bitcoins » – c’est l’équivalent de plus de 200 000 $. « Pour confirmer nos intentions honnêtes, nous déverrouillerons deux fichiers gratuitement. » Ce sont des avertissements alarmants mais convaincants comme ceux-ci qui obligent les entreprises à prendre la décision angoissante d’ignorer les avertissements du FBI de ne pas payer les pirates. « Payer la rançon est toujours, toujours le dernier recours », a déclaré Bleicher. Mais pour de nombreuses entreprises, il s’agit d’une menace existentielle. « Je pense qu’en fin de compte, même, vous savez, le FBI conviendrait que certaines de ces organisations n’ont vraiment pas d’autres options si elles ne veulent pas perdre leur entreprise. »

la négociation

Le marchandage a lieu dans une salle de chat sur le Web sombre. Belicher a déclaré qu’il ne savait pas qui était de l’autre côté de son écran, mais qu’ils en savaient déjà beaucoup sur ses clients. Pour les sociétés cotées en bourse, les pirates informatiques connaissent les revenus annuels et calculent une demande de rançon à partir de là. Et les hackers ont une visibilité totale sur l’organisation: « Ils peuvent avoir accès aux finances de cette entreprise en étant à l’intérieur de leur réseau », a déclaré Bleicher. Mais ce n’est pas seulement la taille qui fixe le prix – c’est la sensibilité des données: « Ce cabinet d’avocats de 10 personnes peut avoir, vous savez, des politiciens comme clients, et par conséquent, cette rançon peut être extrêmement élevée par rapport à une société Fortune 50. où la rançon est moins élevée, et parce qu’ils n’ont pu accéder qu’à une certaine partie de leurs données. « Bleicher ne voulait pas entrer dans les détails sur la façon dont il négocie. Mais un responsable d’une autre entreprise de cybersécurité, qui a parlé sous couvert d’anonymat afin de ne pas attirer l’attention indue des pirates, a offert un aperçu. « Nous créons de faux profils, donc ils ne savent pas qu’ils ont affaire à des négociateurs professionnels », a déclaré le responsable à CNBC. «Les profils sont généralement des employés de niveau intermédiaire, ce qui nous permet de retarder et de retourner chez un responsable pour les approbations.» Et alors même que les négociations se poursuivent, a déclaré le responsable, l’objectif de l’entreprise de cybersécurité peut être de retarder suffisamment longtemps pour mener une enquête ou pour extraire des informations des pirates sur ce qu’ils ont et ce qu’ils savent. « Dans certains cas, nous avons pu obtenir des listes complètes de répertoires pendant les négociations sans payer », a déclaré le responsable. « Ce qui nous aide à comprendre à quels systèmes l’attaquant a accès. » Jason Kotler, fondateur et PDG d’une société de cyber-négociation appelée Cypfer, a déclaré que les criminels savaient à quoi s’attendre. « Ils s’attendent à une négociation », a-t-il déclaré. « Pour les entreprises d’un milliard de dollars, elles s’attendent à des paiements de plusieurs millions de dollars. » Il y a même quelque chose d’un standard de l’industrie: « C’est à peu près un pourcentage de leurs revenus nets publiés – un demi pour cent pour les entreprises d’un milliard de dollars. » « J’aurais aimé ne pas être dans l’entreprise dans laquelle je suis », a déclaré Kotler. « C’est vraiment la guerre. C’est la guerre. »

Les méchants

Le DOJ voulait une affiche pour Maksim Viktorovitch Yakubets DOJ

Parfois, la guerre n’est pas qu’une métaphore. Bleicher a déclaré que les entreprises peuvent se sentir à l’aise avec le remboursement des escrocs – mais elles ne veulent pas payer des terroristes ou se heurter aux sanctions américaines ou occidentales. Donc, la chose la plus importante que fait sa société est de vérifier auprès du Bureau du contrôle des avoirs étrangers du Trésor américain pour voir si les entités qu’ils paient ont un lien avec des organisations sanctionnées connues. L’objectif est de s’assurer que les entreprises victimes n’enfreignent pas accidentellement les lois américaines ou européennes. Le défi est que sur le dark web, vous ne pouvez pas toujours savoir avec certitude à qui vous avez affaire. Les cybercriminels liés à l’armée nord-coréenne, au renseignement iranien et à l’oligarque russe sont tous activement impliqués dans des attaques de ransomwares. En février, par exemple, le ministère de la Justice a annulé les accusations contre trois programmeurs nord-coréens, alléguant avoir participé à une vaste conspiration criminelle en vue de mener une série de cyberattaques destructrices et de voler et extorquer plus de 1,3 milliard de dollars d’argent et de crypto-monnaie aux services financiers. institutions et entreprises. Les États-Unis ont déclaré que les trois hommes, Jon Chang Hyok, 31 ans, Kim Il, 27 ans et Park Jin Hyok, 36 ans, étaient membres d’une unité de piratage d’élite de l’organisation de renseignement militaire nord-coréenne connue sous le nom de Bureau général de reconnaissance. Les États-Unis ont accusé les hommes d’avoir créé le logiciel de rançon destructeur WannaCry 2.0 en 2017 et « l’extorsion et la tentative d’extorsion d’entreprises victimes de 2017 à 2020 impliquant le vol de données sensibles ». Fin 2019, le gouvernement américain a inculpé le dirigeant russe au volant de Lamborghini d’un groupe de piratage se faisant appeler «Evil Corp», et le FBI a annoncé une récompense pouvant atteindre 5 millions de dollars pour des informations conduisant à l’arrestation ou à la condamnation de Maksim Yakubets, 32 ans, de Moscou. C’était la plus grande offre de ce type pour un cybercriminel à ce jour. Le gouvernement a déclaré que les versions du logiciel malveillant conçues par Evil Corp aidaient les criminels à installer des ransomwares. Dans le même temps, les autorités britanniques ont publié une mine de vidéos et de publications sur les réseaux sociaux par Yakubets et d’autres membres présumés d’Evil Corp faisant des beignets dans des voitures de sport coûteuses dans les rues de Moscou, posant avec de grandes quantités d’argent et même câlins avec un lionceau de compagnie. Inévitablement, il semblerait qu’au moins certains fonds d’entreprises américaines soient transférés directement dans les portefeuilles de crypto-monnaie des ennemis de l’Amérique.

Le gain