Les fraudeurs auraient exigé jusqu’à 350 000 $ pour couvrir une violation de données fictive – mais comment les OSC peuvent-ils raconter de fausses attaques de vraies dans le Hall of Mirrors de Cybercrime?
Fin février, les organisations de soins de santé des États-Unis ont commencé à recevoir des demandes d’extorsion par courrier affirmant que les données de leur organisation avaient été volées dans une attaque de ransomware et leur donnant 10 jours pour répondre.
Selon les lettres, imprimées sur papier et livrées dans des enveloppes censées provenir du groupe Bianlian Ransomware, les données seraient divulguées à moins que l’organisation ne fasse une rançon entre 250 000 $ et 350 000 $ en Bitcoin.
Maintenant pour la bonne nouvelle: les infractions ne se sont jamais produites, et les lettres sont presque certainement fausses. Deux fournisseurs de sécurité qui ont étudié les lettres, l’Arctic Wolf et la sécurité de guidage, croient maintenant que toute la campagne d’écriture de lettres est une ruse de quelqu’un qui prétend être Bianlian, l’un des groupes de menaces émergents de l’industrie du ransomware.
Ci versant des organisations de soins de santé, l’étrange incident est un rappel que le ransomware aujourd’hui est vraiment deux industries: une plus grande qui mène les attaques de ransomwares sérieuses que tout le monde entend et une grande et moins bien publiée qui essaie de les usurrer.
Mais comment les organisations peuvent-elles distinguer une véritable attaque avec des menaces d’un entièrement simulé?
À en juger par des exemples publiés, pas facilement, du moins pour un non-expert. Les lettres avaient des post-marques de Boston et une adresse de retour du centre-ville, des liens vers des sites de fuite de données TOR associés à Bianlian et, dans deux cas, un exemple de ce qui a été prétendu être un mot de passe compromis.
«Nous ne sommes pas un groupe politiquement motivé et nous ne voulons rien de plus que de l’argent. Notre industrie ne fonctionne que si nous tenons notre fin de négociation », a déclaré les attaquants dans une lettre analysée par GuidePoint Security.
« Si vous suivez nos instructions et payez le montant complet demandé à temps, toutes les données de votre entreprise seront détruites en permanence et aucun ne sera publié », a poursuivi la lettre.
Quelque chose de phishy
Un indice que quelque chose ne va pas est simplement que les attaquants utiliseraient une lettre pour communiquer. Il n’y a aucun trace de cette tactique déployée auparavant par des groupes de ransomwares organisés tels que Bianlian et pour une bonne raison: l’envoi de demandes par poste est incertain et très lent.
Les lettres envoyées à plusieurs organisations étaient également identiques les unes aux autres, a noté Arctic Wolf, à part les petites variations, adaptant le texte pour chaque destinataire. C’est la même tactique utilisée par les attaques par e-mail aléatoires et l’opportunisme. Ils ont également refusé de négocier et n’ont offert aucun canal pour le faire. Dans les cercles de ransomware, c’est presque inconnu.
Cela dit, l’envoi de demandes par lettre a une caractéristique utile: ils ne seront pas filtrés par des systèmes de spam, ce qui les rend plus susceptibles d’être lus par quelqu’un. C’est une forme d’ingénierie sociale dans laquelle si une seule entreprise tombe amoureuse de la tactique sur mille lettres, le jour de rémunération en vaut la peine.
Si des cartes de crédit volées sont utilisées pour payer les frais de port, il est probablement aussi bon marché ou même gratuit avec les lettres elles-mêmes envoyées via des services imprimés à la commande qui les alimentent au service postal américain.
Extorsion fantôme
L’usurpation d’identité des ransomwares n’a rien de nouveau. En 2019, les organisations des États-Unis auraient reçu des e-mails déployant la même fausse violation que les récents rédacteurs de lettres – «En vérité, ces campagnes sont probablement monnaie courante mais sont rejetées comme des ruses évidentes et rarement rapportées.
Cependant, d’ici 2023, la tactique était devenue quelque chose de plus sophistiqué avec une campagne distincte étayant ses fausses menaces en attachant des extraits de données authentiques tirées des chaluties Web Dark. Cela soulève une possibilité inquiétante: l’organisation a été violée, mais le groupe les menaçant n’est pas celui qui a mené l’attaque.
Sous-jacent tout cela, c’est ainsi que les organisations devraient se défendre de manière pratique contre une autre tactique de fraude.
« Les attaques comme celle-ci réussissent peu dans la majorité des cas, mais les auteurs n’ont qu’à faire tomber un petit nombre de victimes pour que ce soit une grosse journée de rémunération pour eux », a déclaré Graham Cluley, expert en cybersécurité, par e-mail.
Développement de défenses
La première ligne de défense contre ce type d’attaque est simplement de développer un processus pour y faire face, a-t-il déclaré. Des incidents comme celui-ci doivent être signalés en interne pour accroître la sensibilisation aux techniques des escrocs. Dans le même temps, chaque menace de rançon doit être signalée à l’équipe informatique ainsi qu’aux sociétés de sécurité soutenant l’organisation.
Les attaquants incluraient généralement des preuves que les données ont été exfiltrées sous forme de données authentiques. Cependant, les organisations doivent faire attention à ne pas être trompées:
«Ces protocoles comprennent la vérification de l’authenticité de toute demande de rançon. Il est important de déterminer si ces données auraient pu être volées dans une violation de données antérieures ou si elles ont été collectées auprès d’une source tierce différente », a déclaré Cluley.
Cluley a également souligné la nécessité pour les organisations d’avoir un plan de réponse qui pourrait évaluer la possibilité d’une violation elle-même tout en s’engageant avec les forces de l’ordre.
«Il devrait être nommé membres du personnel de votre plan qui coordonnent les communications avec tout extorqueur potentiel, qui garantit que tous les départements concernés sont impliqués dans des décisions importantes. Assurez-vous de vous engager avec les forces de l’ordre. Si vous avez reçu une fausse rançon d’escargot, il est probable que d’autres entreprises l’ont également fait », a déclaré Cluley.
Les demandes de rançon sont toujours conçues pour leur valeur de choc, John Shier, convenu, CISO Field chez le fournisseur de sécurité Sophos. L’envoi d’une demande par lettre était inhabituel, mais cela pourrait être le point.
«Les équipes doivent sensibiliser à cette dernière arnaque à leur leadership. Si une organisation reçoit une lettre, elle ne devrait pas paniquer, mais elle doit toujours enquêter s’il y a une base à la réclamation », a-t-il déclaré.
«À tout le moins, les entreprises devraient examiner les journaux réseau pour tout accès non autorisé et transferts de données importants qui ne sont pas conformes aux modèles normaux. Bien qu’il semble que les lettres soient fausses, certaines diligences de base dues doivent être effectuées pour exclure une violation de données », a-t-il déclaré.
