« Si vous voulez arrêter de perdre votre temps et restaurer vos données cette semaine, nous vous recommandons de discuter de la situation avec nous sur le chat, sinon les problèmes de votre réseau ne vont jamais se terminer ». Depuis le mois d’août, les entreprises victimes de rançongiciel qui ne prennent pas contact avec leurs rançonneurs reçoivent ce genre d’appel, rapporte ZDNet.
Au bout du fil se trouve systématiquement un agent d’un centre d’appel payé par les cybercriminels. Il explique que les hackers suspectent l’implication d’une entreprise de cybersécurité dans la gestion de l’incident, puis il passe aux menaces. Ce démarchage vise à mettre encore plus sous pression des équipes de sécurité de la victime déjà débordées, qui essaient de privilégier la restauration du réseau au paiement de la rançon.
Les cybercriminels utilisent les services de centres d’appel pour harceler leurs victimes. // Source : Louise Audry pour Numerama
Les noms les plus connus du secteur comme Conti, Ryul ou encore Maze (qui a cessé ses activités depuis) ont déjà utilisé cette méthode. Si elle n’est pas entièrement nouvelle, elle est pour la première fois systématisée. D’après les spécialistes interrogés par ZDNet, il semblerait d’ailleurs que les hackers font tous appel au même centre d’appel.
Choisir d’ignorer la demande de rançon est déjà difficile
La restauration et le nettoyage complets d’un réseau infecté par un rançongiciel peuvent durer plusieurs jours, voire s’étendre sur plusieurs mois selon la manière dont le logiciel malveillant s’est répandu et l’architecture du réseau. Pendant cette période, l’entreprise victime fonctionnera au ralenti, ce qui affectera irrémédiablement son chiffre d’affaires.
Elle peut donc être tentée de payer la rançon, bien qu’élevée (de quelques centaines de milliers d’euros à la dizaine de millions d’euros pour les grands groupes), car ce choix pourrait être avantageux financièrement. Si elle exécute les demandes des pirates, elle a une chance de rétablir son système en un temps réduit, et en plus, certaines assurances couvriront une partie des frais.
Mais choisir le paiement de la rançon signifie faire confiance aux criminels, risquer de garder des résidus du malware sur son système, et surtout, alimenter la force de frappe des gangs à l’origine des attaques, qui gagnent en puissance à une vitesse effrayante.
Une arme de plus au grand arsenal des rançongiciels
Pour mettre leurs victimes sous pression, les malfrats innovent sans cesse depuis deux ans. Ils ont commencé par menacer d’avertir les journalistes, dans le but d’attirer l’attention sur l’attaque et d’endommager la réputation des victimes auprès de leurs clients. Puis ils ont ouvert leurs propres blogs, sur lesquels ils menacent de publier des échantillons de données volées aux victimes.
Ils commencent par télécharger quelques mégaoctets comme preuve de leur méfait, et peuvent aller jusqu’à publier l’intégralité des données dérobées. Et ce n’est pas tout : si la victime tergiverse, les cybercriminels n’hésitent pas à doubler le montant de la rançon au bout du délai accordé.
Ces derniers mois, les opérateurs de rançongiciel se permettent de tirer de nouvelles ficelles. Ragnar Locker a acheté des publicités Facebook pour contrer la communication de sa victime Campari. De son côté, Egregor a codé dans son malware un script pour imprimer automatiquement sa note de rançon sur les imprimantes liées aux appareils infectés. Et maintenant, d’autres gangs se mettent au harcèlement téléphonique. Où s’arrêtera donc l’escalade des méthodes utilisées par les cybercriminels ?
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
