Ransomware : pourquoi compter les revendications des cybercriminels ne suffit pas
Comptabiliser les revendications des cybercriminels pour en tirer des conclusions paresseuses sur l’intensité de leur activité, c’est leur servir la soupe (ainsi qu’aux adeptes du marketing) de la peur.
Compter, chaque mois, les revendications de cyberattaques publiées par les délinquants jouant la carte de la cyberextorsion – avec ransomware, simple vol de données, voire les deux (on parle alors de double extorsion) – est devenu un sport international.
La compétition n’y est pas franchement rude : de nombreux outils accessibles en open source permettent à n’importe qui d’un peu bricoleur de se lancer dans le scrapping de sites vitrines accessibles via Tor, voire de compléter la surveillance avec quelques comptes X/Twitter et autres chaînes Telegram utilisés par les cybercriminels pour leurs revendications, voire distribution de données volées à leurs victimes.
La pratique de cette discipline est d’ailleurs désormais tellement répandue que de nombreux services gratuits permettent de suivre la litanie de l’égrainage des victimes, comme ThreatMon et FalconFeeds sur Twitter ou Ransomware.live, développé et maintenu depuis 18 mois par Julien Mousqueton, directeur technique de Computacenter.
L’exercice est intéressant et utile, notamment pour améliorer la prise de conscience de la menace, mais à condition d’utiliser les données brutes récoltées avec un minimum de rigueur pour produire ses analyses.
L’un des biais courants consiste à parler de cyberattaques plutôt que de revendications. Car certaines revendications se sont avérées, par le passé, n’être que des recyclages de données volées antérieurement. Le groupe Snatch s’est ainsi remarquablement illustré à plusieurs reprises, notamment avec la revendication d’une cyberattaque contre Ingenico.
En outre, il est déjà arrivé qu’une même victime ait été revendiquée sur deux vitrines de rançongiciel distinctes, sans qu’il y ait eu pour autant deux cyberattaques. De quoi fausser considérablement les comptes.
Autre problème : la chronologie. Récemment, au moins un affidé de la franchise mafieuse LockBit 3.0 a revendiqué des cyberattaques avec un retard considérable, de plusieurs mois dans certains cas. Sans chercher à redresser à minima les comptes en tenant compte d’indications additionnelles laissées par les attaquants, voire en demandant aux victimes, il est aisé de se laisser prendre au piège d’un effort de communication des cybercriminels visant à « gonfler » artificiellement leurs chiffres à un moment donné.
Se contenter du décompte des revendications des cybercriminels pour estimer le niveau de la menace et son évolution, c’est également oublier le fait qu’il ne constitue qu’un prisme déformant visant, en premier lieu, à servir le narratif des délinquants.
Car à combiner les perspectives – en intégrant par exemple les cyberattaques rapportées publiquement dans la presse, celles dont l’existence est trahie par des échantillons de ransomware, etc. – si l’on n’obtient pas une photographie complète, on peut affiner l’analyse suivant la cohérence des évolutions observées.
À défaut de quoi on finit par affirmer que les cyberattaques se multiplient, voire même les délinquants, en écartant toute possibilité d’évolution de leur stratégie de communication. Or, certains groupes tendent désormais à épingler ouvertement leurs victimes très vite, en moins de 72 h, là où beaucoup restaient aisément silencieux 15 jours, l’an dernier, avant de clamer leurs méfaits.
N’oublions pas non plus que les revendications, quand bien elles seraient systématiques, ne donneraient encore une fois à voir qu’une partie du paysage de la menace des rançongiciels. Car ceux qui font le plus parler d’eux ne sont toujours pas les plus répandus.
Ceux qui font parler d’eux sont ceux qui pratiquent la double-extorsion ou, à tout le moins, le vol de données. Pour l’essentiel, il s’agit d’attaques conduites manuellement. Et selon Microsoft, cela ne représente que 40 % des cas détectés, chez ses clients, en juin dernier. Parmi ceux-ci, « environ 16 % des récentes attaques avec ransomware human operated réussies impliquaient à la fois chiffrement et exfiltration », et 13 % l’exfiltration uniquement.
Bref, considérer que les revendications des cybercriminels donnent, seules, une vision même à peu près claire de la situation est à tout le moins audacieux. Et je ne saurais trop remercier cybermalveillance.gouv.fr de sa transparence – mois après mois – grâce à laquelle est possible la comparaison de différents points de vue.
Mais certains trouvent assurément leur compte dans l’utilisation de chiffres à peine affinés et encore moins analysés de manière critique : les marchands de peur. Ceux-là se frottent régulièrement les mains.