Assiste-t-on à un pic d’activité des ransomwares cet été ? C’est la question que l’on peut se poser au regard des différents cas. Dernière en date après GarminCarlson Wagonlit Travel (CWT), spécialiste des voyages d’affaires, a subi lui aussi les assauts d’un rançongiciel. Selon Reuters, la société aurait payé 4,5 millions de dollars pour remettre en route les 30 000 PC paralysés par l’attaque. Par ailleurs, les pirates auraient téléchargé 2 To de données dont certaines considérées comme sensibles (informations de facturation, souscriptions d’assurance, relevés financiers…).

Si CWT a confirmé avoir subi un « cyber incident », la société nie pourtant le vol de données. Un moyen de rassurer les clients qui comptent beaucoup de grandes sociétés comme Axa Equitable, Abbot Laboratories, AIG, Amazon, Facebook ou Estée Lauder. Le groupe a diligenté une enquête pour connaître les tenants et les aboutissants de l’attaque, mais le rétablissement a semble-t-il été particulièrement rapide.

Ragnar Locker et une négociation publique de la rançon

Selon JameWT de l’équipe de Malware Hunter, le ransowmare impliqué serait Ragnar Locker. Ce dernier n’est pas un inconnu et utilise des vulnérabilités RDP dans Windows de Microsoft. Dernièrement, il a même réussi à se camoufler en machine virtuelle. Le poids-lourd portugais de l'énergie EDP (Energias de Portugal) en avait fait les frais : des cyberpirates sont parvenus à accéder à 10 To de données sensibles et une rançon de près de 11 millions de dollars (1 580 bitcoins) avait alors été demandée.

Dans le cas de CWT, les pirates réclamaient initialement le paiement de 10 millions de dollars en bitcoin. Nos confrères de Reuters ont pu observer les échanges entre les pirates et le représentant de la société (en l’occurrence le directeur financier) sur un groupe de discussion en ligne public. Le DAF expliquait que la firme avait été durement touchée par la pandémie de Covid-19 et donc acceptait de payer 4,5 millions de dollars soit 414 Bitcoins. Le paiement a été réglé le 28 juillet. Avec humour, les pirates ont même donné quelques conseils de sécurité à CWT « fermer RDP et les autres services, mettre en place une liste blanche d’IP (rdp/ftp), installer un EDR, disposer d’au moins 3 administrateurs systèmes travaillant 24/24… ». Après Garmin, l’affaire CWT montre que de plus en plus de sociétés n’hésitent pas à payer la rançon pour reprendre rapidement leurs activités. Impactées par la pandémie du Covid-19, les entreprises sont fragilisées et ne peuvent se permettre une longue procédure.