Décidément, l’inventivité des gangs rançongiciel pour faire payer leurs victimes est sans fin. Dans un message de blog repéré par The Record Media, les opérateurs du rançongiciel Darkside ont annoncé une nouvelle mesure cas de non-paiement des rançons demandées aux victimes. Dans le cas où leur société serait cotée en Bourse, ils travailleraient avec des courtiers véreux pour spéculer sur la chute du cours de ses actions. D’ailleurs, ils invitent leurs potentiels futurs partenaires à candidater par message privé.

Un rançongiciel menace d’organiser une spéculation à la baisse sur le cours des actions de ses victimes

Depuis plus de deux ans désormais, les rançongiciels ne se contentent pas de chiffrer les fichiers de leurs victimes, ils en font également une copie, qu’ils menacent de divulguer publiquement. Ils posent ainsi leurs victimes face à un choix complexe, entre payer une rançon (qui peut dépasser la dizaine de millions d’euros pour les plus grandes entreprises) et subir le contrecoup de la divulgation des informations. Le choix est loin d’être facile, car la perte de réputation engendrée par la fuite des données de clients et l’exposition de l’incident au grand public pourraient avoir un coût bien plus lourd que la rançon.

Darkside persuadé de nuire à la cotation de ses victimes

Voici le deal proposé par Darkside : il indique en avant-première à un groupe de traders complices qu’il va publier les données de sa victime , et part du principe que cela va déclencher une baisse du cours de l’action de l’entreprise. Les complices vont ainsi pouvoir exploiter le mécanisme de vente à découvert (ou short selling), récemment exposé au grand public par l’affaire GameStop.

La vente à découvert est, dans certains cas, une forme de spéculation sur la baisse de l’action de la victime. L’investisseur va emprunter des actions à un autre investisseur, puis les vendre immédiatement. En retour, il s’engage à restituer le même nombre d’actions à une date ultérieure. Concrètement, il rachètera alors le même nombre d’actions pour les rendre à l’investisseur à qui il les a empruntées. Si entre les deux dates, le cours de l’action s’est effondré, il empochera la marge en bénéfice. Si entre les deux dates, le cours de l’action a explosé — comme dans l’affaire GameStop — il devra accuser la différence de prix en perte.

Les dégats causés par le ransomware sont-ils suffisant s?

Darkside propose donc à ses partenaires de faire de la vente à découvert sans risque, du moins en théorie. Une attaque rançongiciel peut en effet paralyser l’activité de l’entreprise pendant plusieurs jours et ralentir son fonctionnement pendant plusieurs mois. Ses dégâts affectent la production, et donc le chiffre d’affaires de l’entreprise. Et ce n’est pas tout : la fuite d’information qui en résulte peut contenir des documents stratégiques de l’entreprise, et donc  porter atteinte à sa compétitivité. Certains analystes financiers se sont par exemple inquiétés de la prétendue fuite du code source d’un jeu d’Ubisoft annoncé par un gang rançongiciel.

Une menace à balayer ?

Est-ce que cette nouvelle menace peut changer la décision des victimes de payer ou non ? Pour que le mécanisme financier sur lequel les malfrats veulent s’appuyer fonctionne, il faudra qu’il soit utilisé en masse. Si tel était le cas, les régulateurs des marchés pourraient s’y pencher, et sanctionner les investisseurs pour leur organisation malveillante. Comme le souligne The Record Media, les risques sont donc largement plus élevés que les potentiels gains pour d’éventuels investisseurs peu scrupuleux.

Ensuite, le postulat de Darkside est que son opération affecterait le cours de l’entreprise sur le long terme, mais ce n’est généralement pas le cas. Si les victimes subissent des turbulences sur les marchés, elles sont le plus souvent de courte durée, et n’affectent pas la tendance de fond du cours de l’action.