Le mail n'enterrera décidément pas le papier. Fin février, des organismes de santé américains ont commencé à recevoir des demandes d'extorsion par courrier, affirmant que certaines de leurs données avaient été volées lors d'une attaque par ransomware et leur donnant dix jours pour répondre. Les lettres, imprimées sur du papier, contiennent un QR Code détaillant la procédure pour payer la rançon et sont livrées dans des enveloppes censées provenir du groupe de ransomware BianLian. Les courriers préviennent que les données seraient divulguées sauf si une rançon comprise entre 250-350 000 $ en bitcoins est réglée. Bonne nouvelle cependant : ces prétendues violations n'ont en réalité jamais eu lieu. Deux fournisseurs de solutions de sécurité ayant étudié les lettres, Arctic Wolf et Guidepoint Security, pensent désormais que toute la campagne d'envoi de lettres est une ruse de quelqu'un qui se fait passer pour BianLian, l'un des groupes malveillants les plus redoutables du secteur des ransomwares, et tente d'en tirer profit.

Ciblant les organismes de santé, cet étrange incident rappelle que les ransomwares sont aujourd'hui le fait de deux secteurs d'activité : l'un, plus important, qui mène les graves attaques dont tout le monde entend parler, et l'autre, beaucoup plus petit et moins médiatisé, qui tente d'en usurper l'identité. Mais comment les entreprises peuvent-elles distinguer une attaque réelle et menaçante d'une autre entièrement simulée ? À en juger par les exemples publiés, ce n'est pas facile, du moins pour un non-expert. Car les lettres portaient le cachet de la poste de Boston et une adresse de retour en centre-ville, des liens vers des sites de fuites de données Tor associés à BianLian et, dans deux cas, un exemple de ce qui était censé être un mot de passe compromis. « Nous ne sommes pas un groupe à motivation politique et nous ne voulons rien d'autre que de l'argent. Notre industrie ne fonctionne que si nous respectons notre part du marché », ont déclaré les attaquants dans une lettre analysée par Guidepoint Security. « Si vous suivez nos instructions et payez la totalité de la somme demandée dans les délais, toutes les données de votre entreprise seront définitivement détruites et aucune d'entre elles ne sera jamais publiée. »

Le goût et l'odeur du phishing

Le simple fait que les attaquants utilisent une lettre pour communiquer est un indice que quelque chose ne va pas. Il n'existe aucune trace de cette tactique déployée auparavant par des groupes organisés de ransomware tels que BianLian, et ce pour une bonne raison : l'envoi de demandes par voie postale est incertain et très lent. Les lettres envoyées à plusieurs sociétés étaient également identiques les unes aux autres, a noté Arctic Wolf, à l'exception de petites variations adaptant le texte à chaque destinataire. Il s'agit de la même tactique que celle utilisée dans les attaques aléatoires par courrier électronique et cela sent l'opportunisme. Ils ont également refusé de négocier et n'ont proposé aucun canal pour le faire. Dans le milieu des ransomwares, c'est presque du jamais vu.

Cela dit, l'envoi de demandes par lettre présente une caractéristique utile : elles ne seront pas filtrées par les systèmes de spam, ce qui leur donne plus de chances d'être lues par quelqu'un. Il s'agit d'une forme d'ingénierie sociale dans laquelle, si une seule entreprise tombe dans le panneau sur un millier de lettres, le gain en vaut la peine. Si des cartes de crédit volées sont utilisées pour payer les frais d'affranchissement, ceux-ci sont probablement bon marché, voire gratuits, les lettres étant elles-mêmes envoyées par des services d'impression de courrier qui les transmettent à l'US Postal Service.

De l'extorsion fantôme

L'usurpation d'identité d'un ransomware n'est pas une nouveauté. En 2019, des entreprises américaines auraient reçu des courriels présentant le même mode opératoire que les récents auteurs de lettres : « Payez maintenant parce que nous avons vos données ». En réalité, de telles campagnes sont probablement courantes, mais elles sont considérées comme des ruses évidentes et font rarement l'objet d'un rapport. Cependant, en 2023, la tactique a évolué vers quelque chose de plus sophistiqué, avec une campagne distincte soutenant ses fausses menaces en joignant des bribes de données authentiques tirées de recherches sur le dark web. Cela soulève une possibilité inquiétante : l'organisation a été victime d'une intrusion, mais le groupe qui la menace n'est pas l'auteur de l'attaque.

La question sous-jacente est de savoir comment les entreprises doivent se défendre concrètement contre une nouvelle tactique de fraude. « Les attaques de ce type ont peu de chances de réussir dans la majorité des cas, mais il suffit qu'un petit nombre de victimes tombent dans le panneau pour que les auteurs de l'attaque gagnent beaucoup d'argent », explique Graham Cluley, expert en cybersécurité.

Des défenses à développer

La première ligne de défense contre ce type d'attaque consiste simplement à développer un processus pour y faire face. Les incidents de ce type doivent être signalés en interne afin de sensibiliser aux techniques des escrocs. Parallèlement, toute menace de rançon doit être signalée à l'équipe informatique ainsi qu'aux sociétés de sécurité qui soutiennent l'organisation. Les attaquants incluent généralement des preuves que les données ont été exfiltrées sous la forme de données authentiques. Toutefois, les organisations doivent veiller à ne pas se faire piéger : « Ces protocoles incluent la vérification de l'authenticité de toute demande de rançon. Il est important de déterminer si ces données ont pu être volées lors d'une précédente violation de données ou si elles ont été recueillies auprès d'une source tierce différente », poursuit M. Cluley, soulignant aussi la nécessité pour les entreprises de disposer d'un plan d'intervention pour évaluer l'éventualité d'une violation tout en collaborant avec les services de police et de justice. « Votre plan doit prévoir la nomination d'un membre du personnel chargé de coordonner les communications avec tout extorqueur potentiel et de veiller à ce que tous les services concernés soient impliqués dans les décisions importantes. Veillez à collaborer avec les forces de l'ordre. Si vous avez reçu un faux courrier de demande de rançon, il y a de fortes chances que d'autres entreprises l'aient reçu également », prévient M. Cluley.

Les demandes de rançon sont toujours conçues pour choquer, a convenu John Shier, RSSI chez l'éditeur de solutions de sécurité Sophos. L'envoi d'une demande de rançon par lettre est inhabituel, mais c'est peut-être le but recherché. « Les équipes doivent sensibiliser leurs dirigeants à cette nouvelle escroquerie. Si une société reçoit une lettre, elle ne doit pas paniquer, mais doit tout de même enquêter pour savoir si la demande est fondée », a-t-il déclaré. « À tout le moins, les entreprises devraient examiner les logs réseau pour y déceler tout accès non autorisé et les transferts de données importants qui ne correspondent pas aux schémas normaux. Bien qu'il semble que les lettres soient fausses, il est nécessaire de procéder à des vérifications de base afin d'exclure une violation de données », a-t-il ajouté.