Accepter de payer une rançon suite à un chiffrement de ses données n'est jamais une bonne idée. On ne le répétera jamais assez, cela n'assure en aucun cas le fait de les retrouver et valide le modèle économique d'une cyberattaque. Ceci étant dit, la réalité du terrain montre bien que des entreprises se laissent quand même aller et payent les cyber-ravisseurs pour tenter de sortir rapidement d'une situation critique. Pour accompagner les organisations qui franchissent ce Rubicon aux conséquences incertaines, les analystes en cybersécurité et lutte contre les menaces de Fox-IT (groupe NCC) Pepijn Hack et Zong-Yu Wu ont émis quelques recommandations.

Développées dans un article de blog détaillé de NCC Group, elles se basent sur une enquête réalisée sur plus de 700 négociations entre des victimes et leurs cyberpirates entre 2019 et 2020. Cette dernière est articulée autour de trois axes : l'exploitation des modèles économiques des cyberattaques pour maximiser les profits, la position de la victime pendant la phase de négociation et les stratégies à exploiter pour limiter la casse. « Cette recherche empirique suggère que l'écosystème ransomware s'est développé comme un business sophistiqué », ont écrit les chercheurs. « Chaque gang de ransomware a créé ses propres stratégies de négociation et de tarification destinées à maximiser ses profits ».

Les groupes de ransomware au cœur des négociations

L'analyse des données effectuée se concentre principalement sur deux souches différentes de ransomware. Une première remontant à 2019, lorsque les adversaires étaient relativement inexpérimentés et que les demandes de rançon étaient plus faibles. Cela concerne 681 négociations entre les victimes et leurs cyber-ravisseurs. Et une seconde, composée de 30 négociations menées  de 2020 à début 2021, lorsque les attaques sont devenues une menace majeure pour les entreprises du monde entier. 

D'après l'étude, la maturité des opérations de rançonnage a progressé. Des groupes clandestins calculent le coût d'une attaque et mettent en œuvre des stratégies de tarification basées sur plusieurs variables concernant les organisations victimes, notamment le nombre de terminaux/serveurs infectés, les employés, les revenus estimés et l'impact potentiel de l'exposition médiatique. Ce faisant, les attaquants peuvent prédire avec précision combien les victimes sont susceptibles de payer avant même d'entamer des négociations. Une fois qu'elles le font, les entreprises concernées sont en position de faiblesse. « Normalement, dans une négociation, chacun abat ses cartes. L'acteur du ransomware connaît le coût de son business et combien il doit gagner pour atteindre le seuil de rentabilité. Pendant ce temps, la victime fait une estimation du coût de la réparation », peut-on lire sur le blog. Cela crée une situation dans laquelle une victime doit traverser un « jeu de négociation injuste » qui la guide vers une plage de rançon prédéfinie mais raisonnable à son insu. « C'est un jeu truqué. Si l'adversaire joue bien, il gagnera toujours. Cette conclusion contribue finalement à un écosystème de ransomware rampant.

Une observation intéressante dans la recherche est que les petites entreprises paient généralement plus d'une rançon par perspective de revenu annuel. Cela signifie qu'ils paient moins en montant absolu, mais plus en pourcentage de leurs revenus. En revanche, le montant le plus élevé de la rançon dans l'ensemble de données (14 millions de dollars) a été payé par une entreprise Fortune 500. « Il est donc compréhensible qu'un acteur motivé financièrement puisse choisir des cibles de valeur et profiter de quelques grosses rançons au lieu d'attaquer de petites entreprises. Cette situation conduit en effet quelques cybergangs à décider de ne cibler que les grandes entreprises rentables. »

4 étapes à suivre pour se préparer

L'enquête de NCC Group a défini les meilleures pratiques et approches qui peuvent aider à faire pencher la balance des négociations (au moins quelque peu) en faveur de la victime. A commençer par la façon de se préparer avant de les débuter. Les organisations doivent ainsi prévenir leurs employés de ne pas ouvrir les notes de rançon et cliquer sur le lien qui s'y trouve à l'intérieur. Cela a en effet pour conséquence de démarrer souvent un compte à rebours jusqu'au paiement. « Ne pas ouvrir la note permet de gagner du temps pour déterminer quelles parties de l'infrastructure sont touchées, quelles sont les conséquences de l'attaque et les coûts probables impliqués », indiquent les chercheurs. Ensuite, il faut prévoir en amont les objectifs de la négociation, en tenant compte des sauvegardes ainsi que des meilleurs et pires scénarios de paiement. Il est aussi conseillé d'établir des lignes de communication internes et externes claires impliquant les équipes de gestion de crise, le conseil d'administration, le conseiller juridique et le service de communication. « Informez-vous sur l'attaquant pour connaître ses tactiques et voir si une clé de déchiffrement est disponible », préviennent par ailleurs les chercheurs en sécurité.

5 approches de la négociation de ransomware

Armées de cette préparation, les organisations seront mieux placées pour entamer des négociations sur les ransomwares, si elles prennent la décision de le faire. À partir de ce moment, il leur est conseillé d'envisager cinq approches de négociation conçues pour réduire les dommages.

1. Soyez respectueux dans les conversations et utilisez un langage professionnel, en laissant les émotions en dehors des négociations ;

2. Les victimes devraient pouvoir demander plus de temps aux agresseurs, ce qui peut leur permettre d'explorer toutes les options de remédiation. Une stratégie consiste à expliquer que vous avez besoin de plus de temps pour lever les fonds nécessaires en crypto-monnaie ;

3. Au lieu de gagner du temps, les entreprises peuvent proposer de payer un petit montant plus tôt au lieu d'un montant plus important plus tard. Cela peut fonctionner avec des adversaires connus acceptant de réduire leurs prétentions pour engranger un profit rapide et passer à une autre cible ;

4. L'une des stratégies les plus efficaces consiste à convaincre l'attaquant que vous n'êtes pas en mesure de payer le montant initialement demandé, et cela peut même s'avérer efficace pour de très grandes entreprises dont les adversaires savent qu'elles disposent d'énormes sommes d'argent. La recherche a souligné qu'il y a une différence entre avoir un certain montant de revenus et disposer facilement de millions de dollars en crypto-monnaie ;

5. Évitez de dire à l'adversaire qu'une police d'assurance cyber a été souscrite. Ils ne doivent pas être capable d'accéder à des documents de cyberassurance sur quel que serveur que ce soit. La présence d'une cyberassurance peut rendre les attaquants moins susceptibles d'être flexibles dans les négociations, car la plupart des polices couvrent la plupart de ces coûts. Mais les temps changent cependant avec à la clé des hausses de tarif des polices ou des changements de couverture.

L'étude pousse aussi quelques conseils simples et pratiques pour compléter les processus de négociation ci-dessus. Ceux-ci incluent la demande de déchiffrement d'un fichier de test, une preuve de suppression des fichiers si vous finissez par payer et une explication de la façon dont le cybergang a piraté l'organisation. Quoi qu'il advienne, une entreprise doit également se préparer à une situation dans laquelle des fichiers seront divulgués ou vendus même si le paiement est effectué. On n'est jamais trop (im)prudent...