Publication des données, quand les menaces sont réelles
Certaines informations confidentielles seront rendues publiques ; ces menaces n’ont rien de nouveau. Par exemple, en 2016, le groupe à l’origine du CryptoLocker qui a infecté les systèmes de la San Francisco Municipal Railway (entreprise qui gère les transports en commun de la ville) a utilisé cette méthode. Pourtant les escrocs ne sont jamais passés à l’action.
Maze était le premier
Contrairement à ses prédécesseurs, le groupe derrière le ransomware Maze a tenu ses promesses fin 2019, et a agi plusieurs fois. En novembre, lorsque Allied Universal a refusé de payer, les cybercriminels ont divulgué sur Internet 700 Mb de données internes (contrats, accords de résiliation, certificats numériques, etc.). Les maîtres-chanteurs ont dit n’avoir publié que 10 % des données qui étaient en leur possession et ont menacé l’entreprise de publier le reste si elle refusait de coopérer.
En décembre, les acteurs de Maze ont créé un site Internet et l’ont utilisé pour publier les noms des entreprises prises pour cible, la date à laquelle elles ont été infectées, la quantité de données dérobées, et les adresses IP et les noms des serveurs infectés. Ils ont aussi téléchargé certains documents. À la fin du mois, 2 Gb de fichiers, appartenant soi-disant à la ville de Pensacola, Florida, ont été mis en ligne. Les escrocs ont expliqué qu’ils avaient publié ces informations pour montrer qu’ils ne bluffaient pas.
En janvier, les créateurs de Maze ont téléchargé 9,5 Gb de données de l’entreprise Medical Diagnostic Laboratories et 14,1 Gb de documents du câblier Southwire, qui avait auparavant poursuivi les cybercriminels en justice pour avoir révélé des données confidentielles. Le verdict a ordonné la clôture du site Internet Maze mais les choses ne s’arrêtent pas là.
Ensuite nous avons Sodinokibi, Nemty et BitPyLock
D’autres cybercriminels sont entrés en jeu. Le groupe à l’origine du ransomware Sodinokibi, utilisé pour attaquer l’entreprise financière internationale Travelex au nouvel an, a expliqué début janvier qu’il avait l’intention de publier les données des clients de l’entreprise. Les cybercriminels ont expliqué qu’ils disposaient de plus de 5 Gb de renseignements : dates de naissance, numéros de sécurité sociale, numéros des cartes bancaires, etc.
Travelex n’a trouvé aucune preuve indiquant qu’il y avait eu une fuite et a refusé de payer. D’autre part, les escrocs ont dit que l’entreprise avait accepté d’entamer les négociations.
Le 11 janvier, ce même groupe a mis en ligne les liens de près de 337 Mb de données sur le tableau d’affichage des pirates informatiques. Ces données appartenaient à l’agence de recrutement Artech Information Systems qui a refusé de payer la rançon. Les escrocs ont expliqué qu’ils n’avaient publié qu’une partie des informations volées, et qu’ils essaieraient de vendre les informations restantes sauf si les victimes collaboraient.
Les auteurs du malware Nemty ont été les suivants à annoncer qu’ils publieraient les données confidentielles des entreprises qui refusaient de payer. Ils ont essayé de créer un blog où ils publieraient petit à petit les documents internes des victimes qui ne suivraient pas les instructions.
Les cybercriminels du ransomware BitPyLock ont suivi la tendance et ont complété leur demande de rançon en indiquant qu’ils publieraient publiquement les données confidentielles des victimes si elles refusaient de payer. Même s’ils n’ont encore rien fait, il est fort probable que BitPyLock vole aussi des données.
Pas seulement un ransomware
Les fonctions avancées ajoutées aux programmes ransomwares n’ont rien de nouveau. Par exemple, en 2016, une version du cheval de Troie Shade installait des outils d’administration à distance au lieu de chiffrer les fichiers s’il s’avérait qu’il avait infecté un dispositif de comptabilité. CryptXXX a chiffré les fichiers et a volé les Bitcoins et les identifiants des victimes. Le groupe à l’origine de RAA a ajouté le cheval de Troie Pony à certains spécimens du malware pour qu’il s’en prenne aussi aux identifiants. La capacité du ransomware à voler les données ne devrait pas vous surprendre, surtout maintenant que les entreprises reconnaissent de plus en plus qu’elles doivent faire une copie de sauvegarde de leurs renseignements.
Il est inquiétant de constater que les sauvegardes ne sont pas protégées contre ces attaques. Si vous êtes infecté, il vous sera impossible d’éviter les pertes, et nous ne parlons pas seulement de la rançon à payer. Les escrocs n’offrent aucune garantie. La seule façon de vous protéger est d’empêcher le malware d’avoir accès à vos systèmes.
Comment se protéger des ransomwares
Il reste à voir si cette nouvelle mode va montrer son efficacité ou si elle sera rapidement abandonnée. Ces attaques commencent à peine à prendre de l’ampleur alors protégez-vous. Cela signifie que vous devez éviter les atteintes à votre réputation et la divulgation de secrets industriels. Si les cybercriminels peuvent obtenir les données personnelles de votre client alors vous pourriez faire face à de lourdes amendes. Voici quelques conseils :
- Améliorez vos connaissances en sécurité des informations. Plus votre personnel est bien formé, moins il y a de chance que vous soyez victime d’une attaque d’hameçonnage ou d’ingénierie sociale. Nous disposons d’une plateforme d’apprentissage, Kaspersky Automated Security Awareness Platform, spécialement conçue pour les employés ayant des charges de travail, des intérêts et des autorisations d’accès aux informations confidentielles différents.
- Mettez immédiatement à jour vos systèmes d’exploitation et vos programmes, surtout s’il y a des vulnérabilités qui peuvent être exploitées pour avoir accès au système et le contrôler.
- Installez une solution de protection spécialisée pour combattre les ransomwares. Par exemple, vous pouvez télécharger gratuitement notre Kaspersky Anti-Ransomware Tool.