Les gangs de ransomware recherchent des compétences humaines pour les négociations
4 min read
La sophistication croissante de la cybercriminalité souterraine se reflète désormais dans la façon dont les opérations de ransomware rassemblent leurs équipes, recherchant des talents et des compétences spécialisés. En effet, certains gangs en viennent à ressembler à des entreprises, avec rôles diversifiés et négociations externalisées avec les victimes, selon une nouvelle étude publiée par Kela, un fournisseur de services de renseignements sur les menaces.
L’analyste de Kela Victoria Kivilevich et d’autres membres de l’équipe ont passé plus d’un an à surveiller l’écosystème du cyber-emploi du dark web et ont rapidement établi l’existence de quatre domaines de spécialisation principaux :
- Codage ou acquisition de logiciels malveillants avec les capacités nécessaires.
- Infecter les victimes ciblées.
- Maintenir l’accès aux systèmes des victimes, et exfiltrer et traiter leurs données.
- Monétisation, encaissement, vente ou monétisation de toute autre manière des données volées.
Chacune de ces étapes implique diverses activités malveillantes où diverses compétences peuvent s’avérer utiles, et Kivilevich a déclaré que son équipe avait découvert qu’en examinant spécifiquement la chaîne d’approvisionnement des ransomwares, de nombreux acteurs se concentrent sur le créneau de l’extraction, en se concentrant sur l’escalade de leurs privilèges au sein du domaine compromis. réseau, et la niche de monétisation, où les acteurs sont impliqués dans l’extraction de rançons lors des négociations avec les victimes.
Les personnes possédant les compétences appropriées – et pas nécessairement techniques – pour réussir dans les négociations de rançon sont particulièrement appréciées, a constaté Kela. . « Nous avons observé plusieurs messages [on the dark web] décrivant un nouveau rôle dans l’écosystème des ransomwares, les négociateurs, dont le but est de forcer la victime à payer une rançon en utilisant des informations d’initiés et des menaces », a déclaré Kivilevich.
« Les victimes ont commencé à utiliser des négociateurs – alors qu’il y a quelques années, ce métier n’existait pas, maintenant il y a une demande de services de négociation. Les spécialistes de la négociation de ransomware s’associent aux compagnies d’assurance et ne manquent pas de clients. Les acteurs de la rançon ont également dû améliorer leur jeu afin de dégager de bonnes marges.
« Comme la plupart des acteurs des rançons ne sont probablement pas anglophones, des négociations plus délicates – en particulier autour de budgets très élevés et de situations commerciales complexes environnantes – nécessitaient un meilleur anglais. Lorsque représentant de REvil recherchait un membre « de soutien » de l’équipe pour mener les négociations, ils ont spécifiquement mentionné « l’anglais conversationnel » comme l’une des exigences. Ce n’est pas un cas nouveau : les acteurs sont intéressés par des anglophones natifs à utiliser pour des campagnes de spear-phishing. »
Kivilevich a trouvé plusieurs fils de discussion sur des forums clandestins russophones où les cybercriminels cherchaient des négociateurs et discutaient de leur travail.
Dans l’image ci-dessous – que Kela a traduit du russe à l’aide des services Google – un acteur malveillant qui a déjà établi sa persistance sur le réseau d’une victime en Arabie saoudite semble appeler un initié, ou une personne ayant des contacts, dans des sociétés de cybersécurité du Moyen-Orient qui peut communiquer les coordonnées des responsables informatiques de la victime afin de mener des négociations. La rémunération dans ce cas serait comprise entre 1 et 5 millions de dollars (72 000 à 3,6 millions de livres sterling, ou 840 000 à 4,22 millions d’euros), soit probablement environ 20 % de la rançon.
Et tout comme une organisation légitime peut réserver un entrepreneur qui s’avère être un mauvais choix, les gangs de ransomware peuvent également prendre de mauvaises décisions d’embauche, et sur certains forums, Kela a trouvé des preuves de différends entre les gangs de ransomware et leurs mercenaires. (voir image ci-dessous).
Dans un cas documenté, une mauvaise communication entre un affilié de Conti et un négociateur embauché a dégénéré en un différend pur et simple lors de la tentative d’extorsion d’avril 2021. du district scolaire public du comté de Broward en Floride.
Le négociateur a affirmé qu’il disposait d’informations privilégiées qui obligeraient la victime à payer – ils avaient exigé 40 millions de dollars, en soi un dépassement massif – mais a ensuite accusé la filiale de Conti de s’ingérer dans les négociations et de mener leurs efforts. Conti a répliqué en accusant les négociateurs de se comporter de manière non professionnelle.
D’autres ont ensuite pesé sur le forum avec leurs expériences, avec REvil – actuellement au centre de l’incident de Kaseya en cours – accuser le négociateur d’être un escroc.
Le rapport de Kela donne plus de détails sur certains des rôles spécialisés pour lesquels les opérateurs de ransomware sont prêts à payer beaucoup d’argent, tels que les courtiers d’accès, les spécialistes des intrusions (ou testeurs de pénétration) et les propriétaires de botnets pour les attaques par déni de service distribué (DDoS) associées. Il peut être lu en entier ici.
