Ransomware : Les cyberattaquants décrochent leur téléphone
Afin de faire pression, certains gangs de rançon appellent désormais leurs victimes par téléphone s’ils soupçonnent qu’une organisation piratée pourrait essayer de restaurer des sauvegardes pour éviter de payer la rançon.
« Nous avons vu cette tendance émerger depuis au moins août-septembre », expliquait Evgueni Erchov, directeur IR & Cyber Threat Intelligence à Arete Incident Response, à ZDNet vendredi dernier.
D’après un porte-parole de la société de cybersécurité Emsisoft, contacté jeudi dernier par ZDNet, parmi les gangs de ransomware surpris à utiliser cette technique dans le passé, on trouve Sekhmet (maintenant disparu), Maze (maintenant disparu), Conti, et Ryuk.
Un même modèle pour tous les ransomwares
« Nous pensons qu’il s’agit du même centre d’appel externalisé qui travaille pour tous les gangs de ransomware, car les modèles et les scripts sont fondamentalement les mêmes dans toutes les variantes », précise par e-mail à ZDNet Bill Siegel, PDG et cofondateur de la société de cybersécurité Coveware.
Arete IR et Emsisoft ont également repéré des modèles de script dans les appels téléphoniques reçus par leurs clients.
Un appel passé au nom du gang de ransomware Maze a été enregistré et partagé avec ZDNet. A l’écoute, on s’aperçoit que les appelants ont un fort accent, suggérant qu’ils ne sont pas de langue maternelle anglaise. Voici une transcription de cet appel, fournie par l’une des entreprises de sécurité à titre d’exemple, après suppression des noms des victimes :
« Nous savons qu’une société informatique tierce travaille sur votre réseau. Nous surveillons toujours et savons que vous installez l’antivirus SentinelOne sur tous vos ordinateurs. Mais vous devez savoir que cela ne vous aidera pas. Si vous voulez arrêter de perdre du temps et récupérer vos données cette semaine, nous vous recommandons de discuter de cette situation avec nous sur le chat, sinon les problèmes sur votre réseau ne s’arrêteront jamais. »
Une nouvelle escalade dans les tactiques d’extorsion
L’utilisation d’appels téléphoniques représente une nouvelle escalade dans les tactiques utilisées par les gangs de ransomware pour faire pression sur leurs victimes afin qu’elles paient les rançons après qu’un réseau d’entreprise a été chiffré.
Parmi les tactiques précédemment utilisées sur des organisations ne voulant pas céder, on peut noter : l’augmentation de la rançon demandée si la victime ne paye pas dans un délai imparti, les menaces d’informer les médias que son réseau a été infiltré, ou encore de divulguer des données sensibles sur les fameux “leak sites”.
Mais, même si c’est la première fois qu’on a affaire à du harcèlement téléphonique dans des affaires de ransomware, il est déjà arrivé que des cyberattaquants se servent du téléphone. En avril 2017, le groupe britannique Action Fraud avertissait en effet les écoles et les universités que des gangs de ransomware appelaient leurs bureaux, en se faisant passer pour des employés gouvernementaux dans le but de tromper leurs employés pour qu’ils ouvrent des malwares conduisant à une infection par rançongiciel.
Source : ZDNet.com
