Les gangs lanceurs de ransomwares trouvent de nouveaux moyens d'augmenter la pression

En novembre 2023, ALPHV/Blackcat a essayé d'exercer un nouveau type de pression sur une victime en déposant une plainte auprès de la SEC.

Aux États-Unis, la SEC (Securities and Exchange Commission) est chargée de « protéger les investisseurs, de maintenir des marchés justes, stables et efficaces, et de faciliter la formation du capital ». Dans le cadre de ces efforts, la SEC émet des réglementations sur les incidents de cybersécurité qui « fournissent aux investisseurs des informations opportunes, cohérentes et comparables sur un ensemble important de risques pouvant entraîner des pertes importantes aux entreprises publiques et à leurs investisseurs ». 

Selon des sources en ligne, le groupe a déclaré avoir violé les systèmes de MeridianLink le 7 novembre et volé les données de l'entreprise sans chiffrer ses systèmes. Apparemment, MeridianLink n'a pas répondu assez rapidement à ALPHV pour négocier un paiement en échange de la non-divulgation des données volées. De ce fait, vers le 15 novembre, APLHV décide de déposer une plainte auprès de la Securities and Exchange Commission aux États-Unis. Le motif : la société n'aurait pas divulgué un incident affectant les « données client et les informations opérationnelles ». La règle de la SEC en question exige que les entreprises divulguent les incidents de cybersécurité « quatre jours ouvrables après qu'un déclarant a déterminé qu'un incident de cybersécurité est important ». Le compte à rebours des « quatre jours ouvrables » ne commence pas lorsque la violation se produit, mais si/quand il est déterminé que la violation a un effet significatif sur le résultat net de l'entreprise.

ALPHV BlackCat dépose prétendument une plainte auprès de la SEC contre MeridanLink pour non-déclaration d'un incident de cybersécurité.@Mandiant pic.twitter.com/DHEKLEo4DV

— Dominic Alvieri (@AlvieriD) 15 novembre 2023

Malheureusement pour le groupe, la tentative d'utilisation des nouvelles exigences de divulgation de la SEC à des fins malveillantes a échoué, car les règles n'étaient pas en vigueur à l'époque. La modification devait entrer en vigueur le 15 décembre 2023, soit plus d'un mois après la violation. MeridianLink a confirmé la cyberattaque et a fait appel à une équipe tierce pour enquêter.

Cela fait suite à plusieurs problèmes du même type que ces groupes lanceurs de ransomwares ont engendrés. À ce jour, l'une des pires tentatives de cet acabit a eu lieu aux États-Unis en février 2023. Les mêmes pirates, ALPHV/BlackCat, ont attaqué le Lehigh Valley Health Network (LVHN) et ont volé une quantité importante de données sur les patients. Parmi ces données, les photos et les radios de plus de 2 700 patients et patientes, présentant des maladies graves comme des cancers du sein. Le réseau LVHN a réagi à l'attaque en déclarant publiquement qu'il ne paierait pas de rançon. En mars, on a appris qu'ALPHV/BlackCat avait fait fuiter des informations concernant une victime atteinte d'un cancer, patiente dans le réseau LVHN : informations personnelles recueillies sur la patiente, notamment des photos d'elle nue, des radios et d'autres données sur la victime. Payer la rançon ne garantit en rien le résultat promis, et toutes les forces de l'ordre le découragent. Cependant, c'est une piqûre de rappel : tous les fichiers de données ne sont pas égaux. Les entreprises doivent améliorer la protection de ces données.

Dans la même veine, celle des attaques qui visent à exercer une certaine pression sur la cible, le groupe lanceur de ransomwares Hunters International a eu recours à des méthodes extrêmes : faire intervenir les forces de l'ordre chez ses victimes. 

Dans ce contexte, le terme « swatting » fait référence au fait d'appeler les services d'urgence et de signaler un danger à une adresse précise. L'activité signalée est généralement une alerte à la bombe ou une situation de violence conjugale. La réponse d'urgence à cette fausse menace cause dans le meilleur des cas quelques bouleversements et perturbations. Enquêteur et journaliste spécialisé en cybersécurité, Brian Krebs a été menotté devant son domicile après que des cybercriminels ont appelé les secours pour intervenir chez lui, et de nombreuses célébrités et figures publiques sont également victimes de ce genre d'interventions, simplement pour être piégées ou pour réellement leur nuire. Les pires incidents liés à ces pratiques ont coûté la vie à certaines personnes.

Hunters International est un groupe adepte du ransomware en tant que service qui a fait son apparition à la fin de l'année dernière. Il a probablement été reformé à partir de l'ancien gang Hive Ransomware démantelé par le FBI, et certains journalistes pensent que Hunters International essaie toujours de faire ses preuves auprès de ses affiliés potentiels. C'est peut-être cette ambition qui justifie les tactiques ignobles employées : cibler les patients des institutions piratées. Le gang a infiltré des organismes de santé comme Bradford Health Care et Fred Hutchinson Cancer Center. Pour Hunters International, l'extorsion ne suffit pas. Les criminels s'en prennent directement aux patients, demandant même à une victime 50 $ pour retirer ses informations de leur site. Des patients du réseau Integris Health, dans l'État de l'Oklahoma, ont été victimes de tentatives d'extorsion similaires.

Nous sommes bien loin des excuses du groupe LockBit Ransomware et des clés de déchiffrement gratuites proposées à un hôpital pour enfants attaqué par un gang affilié à Lockbit.

Ce changement de tactique mijotait depuis un certain temps déjà. De plus en plus d'organisations refusent fermement de payer les rançons et de négocier. C'est pour cette raison que les pirates s'efforcent de trouver de nouveaux moyens de rentabiliser leurs « investissements » et d'exercer plus de pression en « innovant », pour leur soutirer de l'argent.  Rien ne laisse penser que ces gangs s'arrêteront d'eux-mêmes.

Apprenez à neutraliser les attaques par ransomware basées sur l'IA : les clés d'une récupération rapide

Consultez ce webinaire gratuit à la demande  pour comprendre l'évolution des ransomwares. Vous découvrirez également pourquoi certaines entreprises mettent des semaines voire des mois à se remettre, en faisant face à des coûts énormes, et pourquoi d'autres sont capables de se rétablir rapidement et complètement, et de reprendre leurs activités normales en quelques jours tout au plus.

Les ransomwares ne sont pas près de disparaître. En revanche, la manière dont vous vous y préparez et votre façon d'y réagir peuvent transformer une catastrophe potentielle en une simple nuisance.