Dans les affaires de ransomware, il y a les victimes qui payent (Garmin, Carlson Wagonlit Travel) et ceux qui ne cèdent pas. Pour ces derniers, la peine est double : des systèmes IT paralysés et la menace de publication des données dérobées. C’est ce qui vient d’arriver à LG et à Xerox, victimes du ransomware Maze. Nos confrères de Zdnet.com ont indiqué que le groupe derrière le ransomware a publié respectivement 50,2 Go de données pour LG et 25,8 Go pour Xerox.

L’affaire n’est pas nouvelle car le groupe Maze avait intégré en juin dernier la firme coréenne et la société américaine dans une page web recensant les victimes. Il ne s’agissait alors que de deux entrées sans contenus. Dans son modus operandi, Maze s’appuie sur des vulnérabilités connues (en l’occurrence, les experts en sécurité ont pointé du doigt les failles dans les serveurs ADC de Citrix comme point d’entrée de Maze) pour infiltrer le réseau de l’entreprise et dérober des données sensibles. Ensuite, il chiffre ces données et réclame une rançon pour les débloquer. Si la négociation sur le montant de la rançon échoue, alors le gang publie les données sensibles sur la page web citée précédemment.

Des échantillons pour renégocier

Dans le cadre de LG, Maze précisait en juin que le ransomware n’avait pas été activé, mais le groupe s’est juste contenté de voler des données sensibles. En l’occurrence, l’archive publiée contient des codes sources de micro-logiciels de produits LG comme des téléphones ou des PC portables. Pour Xerox, l’archive est moins importante, mais comprendrait des informations sur le support client et sur les employés de la firme.

Peut-être que ces deux publications ne correspondent qu’à des échantillons pour forcer les entreprises à négocier une autre rançon sur les données restantes. L’ère du ransomware as-a-business s’installe donc clairement, et de plus en plus, dans le paysage des menaces.