Cet article fait partie de notre guide: Ransomware : mieux comprendre la menace

Ransomware : les mensonges des cybercriminels

Fournir un outil de déchiffrement, des conseils de sécurité, effacer les données volées… ce sont les trois principales promesses des cybercriminels en cas d’attaque avec rançongiciel. Mais les tiennent-ils ?

Que font les cybercriminels pour pousser les victimes de leurs cyberattaques à céder à leurs exigences et payer la rançon demandée ?

Il y a d’abord le bâton. Là, il y a la menace de divulguer des données volées avant l’éventuel déclenchement d’un rançongiciel, pour les groupes pratiquant ce que l’on appelle la double extorsion. Car certains ne chiffrent pas les données et se contentent d’en voler

Toujours côté bâton, il y a le déni de service distribué (DDoS). Les opérateurs de REvil/Sodinokibi y avaient recours, de même que ceux de SunCrypt et, aujourd’hui, ceux de NoEscape, ou encore Alphv (BlackCat). À cela s’ajoute la communication directe avec les collaborateurs – voire clients – de la victime, par e-mail ou simplement par impression en masse de la note de rançon.

La première carotte est bien sûr, en cas de blocage au moins partiel de l’activité par un ransomware, la promesse d’un outil de déchiffrement qui permettrait de relancer rapidement. 

La seconde carotte consiste à promettre que les données volées ne seront jamais exploitées ni vendues et seront détruites à réception du paiement, journal d’activité correspondant en attestant. 

Enfin, la troisième carotte tient en la promesse de conseils de sécurité devant permettre d’éviter que la malencontreuse aventure ne se renouvelle. 

Dans les faits, ces promesses ne sont, au mieux, que partiellement tenues quand elles ne sont pas tout simplement ignorées.

Des outils de déchiffrement peu efficaces

L’outil de déchiffrement fourni, tout d’abord. Il faut l’utiliser sur chacun des systèmes affectés par le chiffrement. Manuellement. Et lutter contre une attaque de rançongiciel ne se limite pas à cela : un nettoyage en profondeur est nécessaire.

Le mode d’emploi de l’outil de déchiffrement de Conti était clair, simple et… éclairant sur ses limites :

  • Lancez l’outil de déchiffrement avec les droits d’administrateur
  • Attendez que la fenêtre de l’outil de déchiffrement soit fermée
  • Si des fichiers n’ont pas retrouvé leur extension originale, répétez 1 et 2.

Las, il est arrivé que le renouvellement du processus trois ou quatre fois ne donne pas le résultat attendu. Sans compter les situations où les fichiers étaient déchiffrés, mais ne retrouvaient pas pour autant leur extension d’origine.

Capture d'écran des instructions données pour lancer l'outil de déchiffrement de Conti.
Instructions pour lancer l'outil de déchiffrement de Conti.

Les outils de déchiffrement de feu DarkSide, Mount Locker ou REvil n’étaient guère meilleurs. REvil recommandait même de faire une sauvegarde des fichiers chiffrés, par précaution, avant d’engager leur déchiffrement ! 

L’outil de déchiffrement d’Akira (issu de Conti) n’est guère meilleur. Voici un exemple d’instruction pour l’utiliser :

decrypt.exe --path C:\ --secret [clé de déchiffrement unique] --logs trace

Aucune franchise de ransomware, à date, ne permet véritablement d’industrialiser le déchiffrement à grande échelle.

Des conseils marginalement personnalisés

Outre le déchiffrement des données et la destruction de celles qui ont été volées, les attaquants fournissent souvent des indications sur leur mode opératoire et des conseils de sécurité. 

Ces recommandations n’ont souvent rien de saugrenu, même si l’on retrouve quelques bases qui pourraient sembler relever de l’évidence, si toutefois le niveau de conscience de la réalité de la menace était plus élevé. 

Capture d'écran des conseils poussés donnés par un attaquant.
Un attaquant va très loin dans les conseils.

Dans un cas observé, l’attaquant est allé très très loin dans ses recommandations. Pour lui, les administrateurs système doivent « travailler avec des navigateurs en mode privé », ne pas sauvegarder de mots de passe dans leurs navigateurs, ne pas garder de fichiers contenant des listes de mots de passe, ou encore travailler dans des machines virtuelles dont les images disques sont chiffrées.

Mieux encore, cet attaquant recommande de « configurer les pare-feu pour que les ordinateurs des administrateurs n’aient pas d’accès direct aux serveurs critiques », mais passent par un serveur de rebond, ou encore de créer des mots de passe longs et complexes pour les comptes administratifs, dont une partie ne soit connue que du département informatique et l’autre, que de la sécurité. À cela, il ajoute le conseil de créer et détruire des comptes administratifs éphémères pour les tâches quotidiennes.

Capture d'écran d'un exemple de recommandations de sécurité d'Akira
Exemple de recommandations de sécurité d'Akira, après paiement de la rançon, personnalisées seulement à la marge.

Mais globalement, les conseils relèvent plus du copier-coller avec un effort de personnalisation très réduit : mieux vaut ne pas espérer un audit ni même une description complète des techniques, tactiques et procédures (TTP) employées durant l’attaque. 

Chez Akira, ainsi, comme chez Conti avant, les recommandations apparaissent très semblables d’une négociation à l’autre, personnalisées uniquement à la marge pour l’accès initial.

Des données volées pas toujours supprimées

Nous n’avons pas observé de cas pour lequel les données volées ont été divulguées malgré le paiement de la rançon demandée. Mais rien ne garantit que les données ne soient pas conservées, exploitées, voire discrètement vendues malgré un paiement. Pire : des éléments suggèrent à tout le moins la conservation (ne serait-ce que partielle) de données collectées dans le système d’information de la victime.

Les fuites de conversations internes à la petite entreprise mafieuse Conti, début 2022, suite à l’invasion de l’Ukraine par la Russie, ont permis de découvrir un serveur de sauvegarde sur lequel figuraient des données de victimes, y compris de certaines ayant cédé au chantage, jusqu’à d’autres, frappées antérieurement par des acteurs de la galaxie REvil.

Plus récemment, les équipes de Bridewell et Group-IB ont découvert un serveur apparemment lié à l’infrastructure de BlackByte ou, à tout le moins, de l’un de ses affidés. Sur ce serveur se trouvaient des données appartenant vraisemblablement à des victimes revendiquées sur le site vitrine de BlackByte. Mais également d’autres, apparemment liées à des entreprises n’ayant jamais fait l’objet d’une revendication. De quoi suggérer qu’elles avaient cédé au chantage, en espérant notamment que leurs données soient effacées. Ce qui n’a, semble-t-il, pas été le cas.

Tout dernièrement, l’opération Cronos, contre LockBit, a permis de découvrir la conversation de données volées malgré le paiement de la rançon. Ainsi, selon la NCA, « certaines des données contenues dans les systèmes de LockBit appartenaient à des victimes qui avaient payé une rançon aux acteurs de la menace, ce qui prouve que même lorsqu’une rançon est payée, elle ne garantit pas que les données seront supprimées, malgré ce que les criminels ont promis ». 

Cela n’a rien d’un accident : selon la NCA, l’infrastructure de LockBit a été « spécifiquement conçue pour ne pas effacer automatiquement les données » des victimes ayant cédé au chantage. Et ceci à l’insu des affidés eux-mêmes.

En fait, dans la base de données de LockBit 3.0, ce sont les données de quasiment toutes les victimes de 2023 qui n’ont pas été effacées. Accessoirement, cela vaut aussi pour les revendications des victimes qui sont supprimées de la page d’accueil de la vitrine : le lien vers la page individuelle de revendication reste valide après ce dé-référencement. 

Publication initiale le 20 novembre 2023. Mise à jour le 21 février 2024, puis le 3 octobre 2024.

Pour approfondir sur Menaces, Ransomwares, DDoS