En cette fin d’octobre 2020, les opérateurs du rançongiciel Maze ferment peu à peu leurs activités, a conclu le Bleeping Computer, média américain référent sur le sujet. Le gang opérait depuis à peine plus d’un an, mais il a largement influencé l’aggravation des pratiques des cybercriminels. Il a affiché à son tableau de chasse plus d’une dizaine de très grosses entreprises, dont le géant français Bouygues Telecom Construction. Et encore, cette dizaine de victimes ne sont que celles connues publiquement, il pourrait en avoir faire bien plus.
Lorsque Maze s’infiltrait sur un réseau, il exfiltrait les données qu’il trouvait, supprimait les copies quand il le pouvait, puis chiffrait l’ensemble, de sorte que l’activité de l’organisation se trouvait considérablement ralentie, voire stoppée net.
En un an et demi, Maze a amassé des dizaines de millions d’euros. // Source : Avij – Wikipedia
Ensuite, le groupe de malfaiteurs exigeait de ses victimes des rançons dépassant le million, voire la dizaine de millions d’euros, en échange du déchiffrement des données et de leur non-publication. Dans son rapport annuel, l’Anssi — l’agence publique française chargée d’intervenir sur les cyberattaques d’ampleur — décrivait Maze comme « le rançongiciel ayant le plus fort impact potentiel sur les entreprises et institutions. »
L’arrêt de son activité semble donc être une excellente nouvelle. Sauf qu’un autre gang, nommé Egregor, est apparu en septembre, et a déjà fait ses premières victimes. Non seulement le code du rançongiciel s’approche fortement de celui de Maze, mais il a aussi récupéré une bonne partie de ses partenaires. On se retrouve face à une hydre : une tête tombe, mais une autre pousse.
Maze à l’origine de l’inquiétante évolution des rançongiciels
Maze a révolutionné les pratiques des cybercriminels (pour le pire) avec la création d’un site accessible publiquement, sur lequel il diffusait progressivement les données des victimes qui avaient décidé de ne pas payer, ainsi que des communiqués de presse. Depuis, la majorité des gangs disposent d’un blog équivalent et communiquent plus ou moins régulièrement avec les médias spécialisés pour attirer l’attention sur leurs coups réussis.
La publication des données est un puissant moyen de pression supplémentaire pour pousser les victimes à payer. Auparavant, le choix des victimes n’était pas autant contraint : elles pouvaient décider de rétablir leur système à partir des dernières sauvegardes, au lieu de payer la rançon et d’attendre en retour la clé de déchiffrement.
Ce processus de reconstruction du réseau informatique est certes potentiellement long et coûteux, mais il permet d’éviter d’avoir à faire confiance aux cybercriminels. À cause des blogs de divulgation apparus à la fin de l’année 2019, prendre cette voie implique un risque aggravé que les données de l’entreprise atterrissent dans les mains d’autres cybercriminels.
Du côté des malfaiteurs, ce système leur permet d’être dans une situation presque gagnant-gagnant : soit ils réalisent leur profit sur la rançon, soient ils essaieront d’en faire — probablement moins — sur la vente des données.
Egregor a déjà repris les activités de Maze
Maze faisait partie, à l’instar du dernier apparu Egregor, d’une catégorie de gangs qui concentrent tout un écosystème autour d’eux. Concrètement, l’implication des opérateurs de Maze dans les cyberattaques revendiquées en son nom n’était que partielle. Ils se chargeaient de fournir certains outils de piratage et celui de chiffrement des données, mais c’était des « partenaires affiliés » qui se chargeaient de lancer les cyberattaques.
Cette répartition profitait aux deux parties : Maze ne mettait pas les mains dans le cambouis et réduisait considérablement ses prises de risques, tandis que ses affiliés profitaient de logiciels malveillants parmi les plus performants du marché, et d’une crédibilité bien utile. Rançonner une multinationale sous le nom « HackerLordx75xx » n’a pas le même effet que de le faire sous le nom Maze. L’utilisation de la « marque » des cybercriminels pousse les organisations victimes à prendre l’attaque et la demande de rançon au sérieux, au vu de son passif. Après un piratage réussi, Maze et son partenaire se répartissaient le butin.
Le Bleeping Computer a constaté que de nombreux affiliés ont déjà basculé leur activité sous le nom d’Egregor, dont le rançongiciel semble être une déclinaison de celui de Maze. La fin définitive des activités du gang, qui a déjà commencé à nettoyer son site, semble imminente. Mais malheureusement, elle ne ralentira vraisemblablement pas la croissance impressionnante de la force de frappe des rançongiciels…
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
