Exagrid verse 2,6 millions de dollars aux attaquants du ransomware Conti
3 min readLe fournisseur d’appareils de sauvegarde ExaGrid a payé une rançon de 2,6 millions de dollars aux cybercriminels qui ont ciblé l’entreprise avec Conti ransomware.
La rançon a été payée sous la forme de 50,75 bitcoins le 13 mai, selon les informations obtenues par la publication sœur française de ComputerWeekly.com. LeMagIT.
L’accès aux demandes de l’attaquant du ransomware a été rendu plus embarrassant lorsque le fournisseur de l’appliance de sauvegarde – qui fait un grand jeu de ses forces contre les ransomwares – a accidentellement supprimé l’outil de décryptage et a dû le redemander.
La soumission à l’attaque du ransomware a eu lieu le même mois que l’opérateur de pipeline américain Colonial Pipeline a payé 4,5 millions de dollars après avoir été touché par le ransomware Darkside et que le service de santé irlandais a été ciblé, aussi par Conti ransomware.
Les négociations, auxquelles LeMagIT a eu accès, ont débuté le 4 mai avec une personne portant le titre de « technicien en chef informatique chez ExaGrid Systems ».
Les cybercriminels sont allés droit au but et ont déclaré : « Comme vous le savez déjà, nous avons infiltré votre réseau et y sommes restés plus d’un mois (assez pour étudier toute votre documentation), chiffré vos serveurs de fichiers, serveurs SQL, téléchargé toutes les informations importantes avec un poids total de plus de 800 Go.
Ils ont ensuite décrit comment ils avaient obtenu les données personnelles des clients et des employés, les contrats commerciaux, les formulaires NDA, les données financières, les déclarations fiscales et le code source. La rançon initiale demandée était de 7 480 000 $.
ExaGrid voulait tester le décryptage sur un échantillon, et une photo de la face avant d’un boîtier NAS ExaGridEX63000E a été fournie. Les négociations se sont poursuivies et ont duré jusqu’au 13 mai. Pendant toute cette période, les attaquants ont partagé des fichiers avec ExaGrid via Sendspace pour montrer à quoi ils avaient pu accéder. Certaines archives ainsi partagées n’avaient pas été supprimées depuis un certain temps après la fin des négociations et pouvaient toujours être téléchargées.
Le négociateur du cybercriminel semblait plus expérimenté que les autres. Après une offre initiale d’ExaGrid de plus de 1 million de dollars, elle a répondu : « Merci pour vos efforts. Il s’agit d’une offre initiale juste et raisonnable. Nous avons maintenant la possibilité de négocier. Nous sommes prêts à vous offrir une remise de 1 million de dollars. Vos frais seront désormais de 6 480 000 $.
Contrairement à l’approche musclée d’autres cybercriminels, le négociateur a ajouté : « Nous comprenons que votre travail ici n’est pas facile et nécessite un certain effort pour convaincre les membres de votre conseil d’administration. Mais nous sommes encore loin d’être d’accord.
Une semaine plus tard, le négociateur d’ExaGrid a porté son offre à 2,2 millions de dollars. Les cybercriminels ont ensuite réduit leur demande à 3 millions de dollars. À ce stade, les échanges se sont intensifiés alors que les deux parties cherchaient à parvenir rapidement à un accord. Cela est venu bientôt avec un accord à 2,6 millions de dollars, et l’adresse bitcoin indiquait que le montant négocié avait été payé. L’outil de décryptage a été fourni via un compte sur Mega.nz, où les données volées ont été stockées. Les données et les comptes ont été immédiatement supprimés.
Mais ensuite, deux jours plus tard, le négociateur d’ExaGrid a demandé le renvoi de l’outil de décryptage car « nous l’avons supprimé par accident ». Les cybercriminels l’ont rendu disponible en téléchargement le lendemain.
L’attaque est particulièrement embarrassante pour Exagrid, qui en décembre dernier a annoncé il avait remporté sept prix de l’industrie, ainsi que le lancement d’une nouvelle solution de restauration à la suite d’attaques de ransomware.
Sur son site Web, au sujet des ransomwares, ExaGrid déclare : « ExaGrid propose une approche unique pour s’assurer que les attaquants ne peuvent pas compromettre les données de sauvegarde, permettant aux organisations d’être sûres qu’elles peuvent restaurer le stockage principal affecté et éviter de payer des rançons disgracieuses.
ExaGrid a été invité à commenter, mais n’était pas disponible au moment de la publication.