Il existe la théorie et la pratique. Par défaut, la règle de base dans les affaires de ransomware est de ne pas payer la rançon. Et dans la vie réelle, il arrive souvent que les victimes payent tout ou partie de la rançon. C’est ce qui vient d’arriver à JBS, entreprise brésilienne d’agro-alimentaire, qui a été victime d’une attaque le 1er juin dernier se soldant par la suspension de ses activités en Amérique du Nord et en Australie.

Aujourd’hui, le groupe a avoué dans un communiqué avoir payé 11 millions de dollars en crypto-monnaie pour résoudre son problème de ransomware. Un montant négocié, car la demande initiale était de 22,5 millions de dollars. « C’était une décision très difficile à prendre pour notre entreprise et moi personnellement », a expliqué Andre Nogueira, CEO de JBS USA. Il ajoute, « nous avons estimé que cette décision devait être prise pour prévenir tout risque potentiel pour nos clients ». En effet, il précise que la grande majorité des systèmes étaient opérationnels au moment où le groupe a effectué le paiement. Il a néanmoins décidé de payer pour éviter « tout problème imprévu » et s’assurer qu’aucune donnée n’a été exfiltrée. En l’occurrence, JBS avait besoin d’un déchiffreur pour débloquer deux bases de données spécifiques.

 Payer la rançon, une tendance croissante

Le FBI a attribué cette cyberattaque au groupe REvil. Un gang bien connu qui affiche un palmarès redoutable : Acer, Quatana Computer ou Pierre Fabre en France et plus récemment Fujifilm. On se souvient aussi de Travelex qui s’était fait remarquer en payant une rançon de 2,3 millions de dollars pour obtenir un déchiffreur et restaurer son réseau. Cette semaine, on a appris que Colonial Pipeline avait versé l’équivalent de 5 millions de dollars, mais que les autorités américaines ont réussi à récupérer 2,3 millions de dollars.

Il n’en demeure pas moins que le nombre d’entreprise payant la rançon progresse. Un marché est en train de se créer avec des négociateurs spécialisés pour faire baisser les demandes initiales d’extorsion, la nécessité pour les entreprises de disposer d’un portefeuille de crypto-monnaies, de vérifier les déchiffreurs envoyés par les gangs. Ces derniers sont aussi de plus en plus structurés avec des modèles de ransomware as a service incluant la charge, la négociation, le paiement et pouvant aller jusqu’au blanchiment d’argent.