Ransomware : 75 millions de dollars, la rançon record obtenue par Dark Angels

Publiant la dernière édition de son rapport annuel sur les rançongiciels, Zscaler a lâché une petite bombe : « début 2024, ThreatLabz a découvert une victime qui a payé 75 millions de dollars à Dark Angels, plus que tout montant [de rançon] publiquement connu ». 

Sur Twitter, l’éditeur se fait un peu plus précis sur la victime en question : il s’agit d’une entreprise figurant dans la liste Fortune 50. Quelques heures plus tard, Chainalysis confirme : « en début d’année, nous avons vu le paiement de ransomware le plus élevé [à date] à 75 M$ ».

Une entreprise du classement Fortune 50 a fait état d’une cyberattaque en début d’année. Il s’agit de Cencora ; c’était le 27 février. Dans une déclaration au gendarme des marchés boursiers américains, l’entreprise disait avoir « appris », six jours plus tôt, « que des données de ses systèmes d'information avaient été exfiltrées, certaines d'entre elles pouvant contenir des informations personnelles ». Et d’ajouter qu’à « la date du présent document, l'incident n'a pas eu d'impact significatif sur les activités de l'entreprise et ses systèmes d'information restent opérationnels. La société n'a pas encore déterminé si l'incident est raisonnablement susceptible d'avoir un impact significatif sur sa situation financière ou ses résultats d'exploitation ».

Sollicité par la rédaction, le service de presse de Cencora n’a pas répondu à nos questions à l’heure où nous publions ces lignes.

Mais qui se cache derrière la marque Dark Angels ? Dans son rapport, Zscaler explique qu’il s’agit des opérateurs de la vitrine Dunghill apparue en mai 2022. On lui connaît une quinzaine de victimes dont Sabre, une ESN clé du transport aérien commercial. 

« Le groupe Dark Angel emploie une approche hautement ciblée, n’attaquant généralement qu’une seule grande entreprise à la fois », relève Zscaler. Le groupe se distingue également par les volumes de données dérobées à ses victimes, particulièrement important : « pour des grandes entreprises, le groupe a exfiltré 10 à 100 To de données, ce qui peut prendre des jours, voire des semaines à transférer ». 

En septembre 2023, justement, Dark Angels s’est attaqué à Johnson Controls, assurant le vol de 27 To de données et demandant une rançon de 51 millions de dollars. Là, ils ont laissé un indice : ils ont utilisé le variant Linux du ransomware de Ragnar Locker contre l’environnement VMware ESXi de Johnson Controls. Avant cela, Dark Angels était plutôt connu pour utiliser le variant Linux de Babuk contre ces environnements virtualisés. Toutefois, SentinelOne a remarqué des similarités entre l’outillage de Dark Angels et celui de Ragnar Locker dans un échantillon datant de septembre 2022. 

Si le lien technique est en apparence ténu, le mode opératoire de Dark Angels renvoie en tout cas bien à celui de Ragnar Locker, un gang discret, tout sauf prolifique, mais redoutablement méthodique. On lui connaît notamment l’armateur MSC, en avril 2020, mais aussi l’énergéticien EDP, Carlson WagonLit Travel, le groupe Campari, Capcom, CMA-CGM, ou encore Dassault Falcon Jet, et LDLC.

L’infrastructure de Ragnar Locker a été saisie, dans le cadre d’une opération judiciaire internationale, au mois d’octobre 2023. Des acteurs du gang ont également été interpelés, deux ans plus tôt.