Ransomwares : la vague déferle sur fond de querelles intestines

Clément Bohic,
ransomwares vague querelles

Après l’épisode Colonial Pipeline, des déchirures se manifestent dans le milieu cybercriminel au sujet des ransomwares. Comment les expliquer ?

Les ransomwares, symboles d’une querelle des Anciens et des Modernes chez les cybercriminels ? Ils sont en tout cas devenus, dans l’esprit commun, la vitrine de ce milieu. Si ce n’est comme la plus tangible des menaces, tout du moins comme la plus retentissante. L’attaque contre Colonial Pipeline en témoigne. Non seulement par ses conséquences sur l’activité de l’entreprise, mais aussi par l’onde de choc qu’elle a déclenchée bien au-delà.

L’affaire est remontée jusqu’à Washington. Entre autres mesures, le président Biden a signé un ordre exécutif destiné à renforcer la cybersécurité du pays. Principaux axes : la coopération public-privé, la sécurisation de la chaîne de développement logiciel et la standardisation des procédures de réponse. Parallèlement, un vent de panique s’est emparé des automobilistes. Le prix moyen du gallon d’essence (3,8 litres) a dépassé les 3 $ à la pompe. Une première depuis octobre 2014.

Officiellement, l’assaut est survenu le 7 mai. Il aura fallu huit jours à Colonial Pipeline pour restaurer pleinement son infrastructure. Quant à savoir s’il y a eu paiement d’une rançon, les informations sont contradictoires. Une somme en particulier fait l’objet de spéculations : 5 millions de dollars. Les polices d’assurance ransomwares de Colonial Pipeline, souscrites auprès d’un bouquet d’assureurs dont AXA, couvriraient largement ce montant.

AXA pris dans la vague

Du côté d’AXA, on s’était distingué début mai sur le volet ransomware. Le groupe avait décidé de ne plus payer les rançons de ses clients. Plus précisément en France, pour tout nouveau contrat d’assurance cyber.

Le revoilà sous les projecteurs, cette fois en tant que victime. Ce dimanche, il a confirmé, après des révélations dans la presse, l’irruption d’un ransomware au sein de sa division Asia Assistance. Au rang des filiales touchées figurent Hong Kong, la Malaisie, les Philippines et la Thaïlande. Leurs sites web respectifs ont été – et, pour certains, sont encore – inaccessibles. Vraisemblablement à cause d’un DDoS synchronisé pour pousser à la négociation.

À la baguette, semble-t-il, le groupe Avaddon, connu pour employer cette technique. Assurant avoir volé 3 To de données dont des contrats, des infos bancaires, des pièces d’identité et des rapports médicaux, il a donné un ultimatum de 10 jours à AXA. Ce dernier déclare pour le moment des accès indésirables à « certaines données » traitées par un partenaire en Thaïlande.

Tensions internes

Avaddon fait partie des opérateurs de RaaS (ransomwares as a service = proposés à la location) qui ont annoncé modifier leurs règles de fonctionnement après ce qu’il s’est passé aux États-Unis. Il a en particulier interdit formellement à ses « clients » de s’en prendre au secteur public, à la santé, à l’éducation et aux organisations à but non lucratif.

Chez ceux qui n’ont pas changé leurs règles, on a parfois tout de même choisi de faire profil bas. Probablement pour éviter tout bannissement d’Exploit et de XSS. Les administrateurs de ces forums russophones de référence du milieu cybercriminel ont mis le holà sur les ransomwares. Ils en interdisent désormais la promotion, les considérant comme « toxiques ».

Une résistance n’a pas tardé à s’organiser. Les « déçus », parmi lesquels le groupe REvil, ont tenté de rallier la communauté pour lancer un DDoS contre Exploit et XSS. D’autres ont rappelé, dans les grandes, lignes, n’avoir « ni dieu ni maître »… et annoncé de « grands projets ».

L'étincelle DarkSide

Ces événements ne découlent pas tant de la situation aux USA que de l'arrêt des activités de DarkSide. C'est-à-dire du collectif dont le ransomware a servi à cibler Colonial Pipeline. Les affiliés en ont eu connaissance le 13 mai. On leur a expliqué que des forces de l'ordre avaient perturbé une partie de l'infrastructure. Le blog et le CDN de DarkSide y sont passés. Tout comme les serveurs de paiement... et les fonds qu'ils hébergeaient.

De tels désaccords entre cybercriminels sont-ils de l'ordre du « conflit générationnel » ? Certains observateurs perçoivent ce phénomène. La crise Covid l'aurait exacerbé. Avec, en point d'orgue, les attaques de ransomwares contre le secteur de la santé ; les codes de la « vieille garde » contrastant, en la matière, avec l'impunité des « jeunes loups ».

Ransomwares : vers une économie à deux vitesses ?

Dans cette dernière catégorie, on pourrait mettre les créateurs de Conti. Leur ransomware vient de frapper le système de santé irlandais. Découverte vendredi matin, l'attaque a entraîné une désactivation préventive de SI à grande échelle. L'accueil des patients reste perturbé dans de nombreux établissements. Il est même parfois totalement suspendu. Notamment en radiologie.

Les premiers éléments de revendication font état de 740 Go de données dérobés. La rançon s'élèverait à 19,999 millions de dollars.
On aura noté une autre victime de marque qui s'est signalée vendredi : Toshiba. La cible : l'une de ses filiales, touchée dans plusieurs régions d'Europe dont la France. La cause : apparemment DarkSide. Le nom de Toshiba apparaît en tout cas sur des versions archivées de son « site vitrine », avec quelques documents publiés pour l'exemple. Dont des passeports.

Illustration principale © lolloj - Shutterstock