Pour gérer vos consentements :
Categories: RansomwareSécurité

Ransomwares : qu’est-ce que la « triple extorsion » ?

Dans l’univers des ransomwares, qu’est-ce que la « triple extorsion » ? On a vu émerger le terme il y a quelques semaines, essentiellement en référence à l’ajout du DDoS dans l’arsenal de groupes cybercriminels. Notamment Avaddon et REvil. Ils s’engageaient à fournir ce service à leurs « affiliés » en complément au socle dit de « double extorsion », à savoir vol + chiffrement de données.

REvil, entre autres, ne s’est pas arrêté là dans l’extension de ses prestations. Il a aussi enrichi son catalogue de moyens de pression avec les appels téléphoniques. À deux destinataires. D’un côté, les partenaires commerciaux des victimes. De l’autre, les médias.

Chez Check Point, on mentionne autant le DDoS que les appels téléphoniques. Mais on considère que le véritable marqueur de la « triple extorsion » est ailleurs. En l’occurrence, dans le fait de demander des rançons à des victimes collatérales. En première ligne, celles dont on a récupéré des données.

Les micro-rançons de Vastaamo

Pour illustrer son propos, l’éditeur américain cite le cas Vastaamo. Cette entreprise exploite un réseau de cliniques en Finlande. En octobre 2020, on a appris qu’elle avait subi une cyberattaque. La chronologie des événements reste incertaine (la première intrusion pourrait remonter à 2019, voire à 2018). L’ampleur est plus claire : on a dérobé les données de l’essentiel du personnel… et d’environ 36 000 patients.

Le 24 octobre, ces victimes ont commencé à recevoir des e-mails. Voire, pour quelques-uns, des lettres et/ou des coups de téléphone. Motif : une demande de rançon, à hauteur de quelques centaines d’euros et à payer en bitcoins. Quelques-uns auraient effectué la démarche, sous la menace de voir leurs données publiées.

Ce qui s’est joué autour de cette date laisse beaucoup d’hypothèses ouvertes. La tentative d’extorsion des patients semble être intervenue dans un second temps. Les cybercriminels ont peut-être changé de stratégie face à la résistance de la clinique, invitée à régler 40 bitcoins. Mais l’implication d’une tierce partie n’est pas exclure. En particulier du fait d’un curieux fichier de 10 Go publié à la veille de l’envoi des e-mails. Accompagnant un échantillon de données relatives à 300 patients, il avait rapidement disparu de la circulation. A-t-il pu contenir l’intégralité de la base des patients et ainsi donner une arme potentiellement fatale à qui aurait pu le récupérer ?

Un événement similaire dans la forme mais de moindre ampleur était survenu en 2019 dans un centre américain de chirurgie faciale.

Illustration principale © Nmedia – Fotolia

Recent Posts

NegaOctet se concrétise : quels seront ses premiers usages ?

Le projet « green IT » NegaOctet a officiellement produit ses premiers livrables exploitables. Que…

3 heures ago

Nobelium : un parfum de SolarWinds en France

L'ANSSI attire l'attention sur des campagnes de phishing sévissant en France. Elle les attribue à…

4 heures ago

Hyperconvergence logicielle : la question du rapport qualité-prix

Les offres d'hyperconvergence logicielle dont le Magic Quadrant distingue l'exhaustivité n'apparaissent pas forcément comme les…

5 heures ago

Cinov Numérique : Emmanuelle Roux succède à Alain Assouline

Elue présidente de Cinov Numérique, Emmanuelle Roux affirme le rôle clé des PME de l'IT…

6 heures ago

AWS : une stratégie mainframe qui passe par Micro Focus

AWS lance, en phase expérimentale, un kit de migration mainframe-cloud qui repose sur des outils…

1 jour ago

Arm-NVIDIA : de la Chine aux USA, les barrières se dressent

Aux États-Unis, un nouvel obstacle se dresse face au projet de fusion Arm-NVIDIA. Quelles autres…

4 jours ago