Non satisfait avec les nouvelles tactiques qui font pression sur les victimes, le groupe de cybercriminels Darskide a évolué avec DarkSide Leaks, un site Web d’apparence professionnelle qui ressemble à celui d’un fournisseur de services en ligne et utilise des techniques de marketing traditionnelles. Voici cinq exemples qui illustrent le mieux la transformation de ce groupe criminel clandestin en une entreprise.
1. Liens avec les médias
Les entreprises légales fournissent toujours un centre de presse ou un espace médiatique. Les cybercriminels de DarkSide ont fait de même en publiant des articles à propos de fuites de données qui auront lieu dans le futur et laissant les journalistes poser des questions dans leur centre de presse.
Du moins, c’est ce qu’ils disent. En réalité, le but de DarkSide est de faire le buzz sur Internet. Un intérêt plus poussé de la part des médias peut mener à une plus grande peur de DarkSide, ce qui signifie que la prochaine victime aura plus tendance à payer qu’à causer des problèmes.
2. Partenariats entre entreprises de chiffrement
Les extorqueurs de DarkSide recherchent des partenaires dans les entreprises qui fournissent des services légitimes de déchiffrement de données. La raison la plus évidente est que certaines victimes n’ont pas leur propre département de sécurité de l’information et dépendent d’experts externes pour déchiffrer leurs données. DarkSide propose les services de tels experts de support technique et des rabais selon la charge de travail.
Le subterfuge devrait sauter aux yeux ici. Les escrocs ne cherchent pas des victimes qui ne savent pas décrypter les données, mais une grande somme d’argent. Les entreprises qui appartiennent à l’État peuvent se voir interdire toute négociation avec les extorqueurs, mais elles sont cependant libres de travailler avec les entreprises qui fournissent des services de déchiffrement. Dans ce cas, ces dernières agissent comme une sorte d’intermédiaire, prétendant restaurer les données, mais tout ce qu’elles font c’est payer les escrocs qui empochent l’argent.
3. Dons caritatifs
Les extorqueurs font des dons aux associations caritatives et ils le publient sur DarkSide Leaks. Pourquoi s’embêter ? Ce serait pour persuader les plus récalcitrants à payer la rançon en affirmant qu’une partie de l’argent sera reversée à une bonne cause.
Ici, nous avons un autre piège : certains pays, dont les États-Unis, interdisent les associations caritatives d’accepter de l’argent obtenu illégalement. En d’autres termes, ces paiements ne leur seraient jamais versés.
4. Analyse commerciale
À l’origine, il n’y avait que les criminels et quelques experts en sécurité de l’information qui pouvaient voir les données volées publiées par les opérateurs de ransomwares sur les forums de hackers. Les cybercriminels ont désormais ajouté des données et des analyses de marché et cherchent un moyen de pression parmi les contacts de l’entreprise, ses clients, partenaires et concurrents avant de publier les données volées. Ils peuvent envoyer des liens vers les fichiers volés directement aux personnes concernées. Ici encore, le but principal est d’infliger le plus de dégâts possible à la cible afin de l’inciter à payer et pour intimider les futures victimes.
5. Code moral
DarkSide Leaks possède une déclaration de principes éthiques, identique à celle que les entreprises publient sur leurs sites Internet. Ici, les cybercriminels font des allégations : celles de ne jamais s’en prendre aux entreprises médicales, funérariums, établissements éducatifs ou bien aux organisations non gouvernementales ou associations caritatives. En l’occurrence, nous ne voyons pas très bien quel est le but de cette déclaration. La victime est-elle censée se dire : « Ces gens-là s’en soucient, alors je vais les payer » ?
Un récent incident impliquant des données volées à des écoles prouve le contraire. La cible n’était pas un établissement scolaire à proprement parler, mais ce sont bien les données de l’école que les escrocs ont menacé de publier.
Ce que vous pouvez faire
Les cybercriminels ont clairement les ressources nécessaires pour investir dans l’analyse de marché, les collaborations de nature professionnelle et les organisations caritatives. Le seul moyen de les vaincre est de couper leur source de revenus, ce qui signifie :
- Ne pas payer la rançon. C’est en effet une décision audacieuse qui peut avoir certaines conséquences, mais ne pas payer est la meilleure option. Vous pouvez lire la récente publication d’Eugène Kaspersky qui vous explique pourquoi vous ne devez jamais céder ;
- Installer une solution de sécurité fiablesur tous les appareils connectés afin d’empêcher toute tentative d’attaque par ransomware avant même qu’elle ne commence.