Ransomware : tout comprendre des revendications des cybercriminels

Combien de temps avant la revendication ?

Bien souvent, les cybercriminels laissent quelques jours, voire quelques semaines, à leurs victimes avant d’afficher publiquement leur nom sur un site vitrine. Parfois, la revendication peut attendre encore plus longtemps.

Le délai accordé à la victime, avant que son nom ne soit ainsi épinglé, varie considérablement d’une enseigne à l’autre et même d’un affidé à l’autre.

En 2020, le groupe Egregor a laissé s’écouler 5 jours entre la cyberattaque contre Ouest-France et sa revendication. Début 2024, une dizaine de jours sont passés entre l’attaque contre GCA et sa revendication sous le pavillon de RansomHouse.

Toutes revendications portent-elles sur des cyberattaques récentes ?

De toute évidence, non. Au mois de septembre 2023, un nombre important de revendications se rapportaient à des faits bien antérieurs. Mais en mai 2024, avec LockBit, ce fut encore plus marqué : certaines revendications portaient sur des faits remontant à plusieurs mois.

Début 2024, le groupe Black Basta procédait de la sorte : entre le commencement de l’année et la fin mars, il a épinglé près de 80 victimes à son tableau de chasse, son site vitrine, dont 19 en janvier. Mais c’était une manière de masquer une longue période d’inactivité.

Les revendications reflètent-elles le niveau d’activité des groupes de ransomware ?

Non, pas vraiment. Se contenter du décompte des revendications des cybercriminels pour estimer le niveau de la menace et son évolution, c’est également oublier le fait qu’il ne constitue qu’un prisme déformant visant, en premier lieu, à servir le narratif des délinquants.

Cela n’a jamais été aussi visible qu’avec LockBit 3.0 à la suite de l’opération judiciaire Cronos lancée contre l’enseigne début 2024. Très vite, les opérateurs de l’enseigne ont relancé une vitrine avec ses miroirs. Les noms d’une quinzaine de victimes y ont été épinglés. Mais en grande majorité, il s’agissait de revendications déjà publiées avant l’opération Cronos.

La franchise a continué à essayer de mettre en scène son retour aux affaires, mais l’examen de ses revendications montrait une réalité bien différente. Puis début mai 2024, elle s’est lancée dans une intense opération marketing.

Certaines revendications sont-elles mensongères ?

La majorité des revendications qui ont été constatées au cours des années passées était justifiée. Certaines étaient toutefois délibérément erronées, vraisemblablement pour attirer l’attention.

Fin janvier 2022, le site vitrine de la franchise mafieuse LockBit 2.0 s’enrichissait ainsi d’une revendication propre à attirer fortement l’attention, et pas seulement médiatique, du ministère français de la Justice. Les fichiers divulgués par le groupe de cybermalfaiteurs ont rapidement suggéré une cyberattaque menée contre un cabinet d’avocats du Calvados.

Une pratique comparable avait déjà été constatée fin 2021 avec deux revendications sous cette même enseigne. Elle sera observée de nouveau en juin 2022 avec Mandiant, puis fin 2022 avec Thales, ou au printemps 2023 avec Darktrace, et encore en juin 2024 avec la Réserve fédérale américaine.

Si deux groupes revendiquent une même victime, a-t-elle été attaquée deux fois ?

Pas nécessairement. Les relations entre enseignes de ransomware et affidés travaillant avec elles sont devenues très fluides avec le temps. Il est alors apparu de plus en plus évident que certains affidés quittent parfois une enseigne au profit d’une autre, emportant leurs trophées avec eux.

Il faut également compter avec les affidés susceptibles de travailler en même temps avec deux franchises. Des marqueurs techniques ont permis de l’établir pour un affidé ayant œuvré à la fois avec Trigona et Alphv/BlackCat.

Et à cela s’ajoutent les changements de marque de certains groupes, à l’instar de Hive avec Hunters International. 

Certaines enseignes revendiquent-elles des victimes sans jamais les avoir attaquées ?

Oui, c’est typiquement le cas de Snatch. Mais cela ne signifie pas que les victimes revendiquées par cette enseigne n’aient jamais été victimes de cyberattaque.

Apparu en 2018 comme franchise de ransomware en mode service, Snatch s’est depuis transformé en plateforme de diffusion de données volées lors de cyberattaques menées par des tiers, et parfois bien antérieures.

Fin février 2023, l’enseigne publiait une revendication concernant Ingenico. Lors d’un échange téléphonique avec la rédaction, un porte-parole d’Ingenico expliquait alors que l’examen des captures publiées sur le portail de Snatch fait ressortir des vieilles données, datant de 2019.

Si une revendication disparaît, est-ce que la victime a payé la rançon ?

Non. L’histoire a montré à plusieurs reprises qu’il n’est pas possible d’affirmer qu’une victime non revendiquée a payé la rançon demandée. De la même manière qu’il n’est pas possible d’affirmer qu’une victime restant épinglée sans que de données ne soient divulguées n’a pas cédé au chantage.

Pour l’affidé, retirer une revendication peut être une tentative de pression renouvelée sur sa victime, un moyen de donner une impression de succès à ses pairs cybercriminels, ou encore de cacher un vol de données insignifiant, notamment.

Il n’est pas exceptionnel non plus qu’une victime demande le retrait de la revendication la concernant durant d’éventuelles négociations.