Un des aspects de la cybersécurité est d’avoir un maximum de connaissances sur les attaquants notamment dans le domaine des rançongiciels. Qui est à l'origine d'une campagne de rançon dévastatrice ? Pourquoi ont-ils choisi une cible spécifique ? Qu'est-ce qui les attire dans la cybercriminalité ? Autant de questions qu’il est difficile de poser directement aux pirates. C’est pourtant ce qu’a réussi à faire des chercheurs de Talos, la division sécurité de Talos.

Ils ont interrogé un membre du groupe derrière le ransomware LockBit. Nommé « Aleks », il a accepté de dialoguer avec l’équipe de Cisco en septembre dernier. Cette dernière s’est assurée de la crédibilité de la personne qui a fourni des preuves de son implication dans la communauté Lockbit (connaissance des opérations, modification du ransomware). Qui est Aleks ? les chercheurs pensent qu’il s’agit d’un homme vivant en Russie et plus exactement en Sibérie et pratique le ransomware depuis plusieurs années en solo après avoir eu une carrière dans l'informatique. Trentenaire, il a une formation universitaire, même s’il se déclare autodidacte. Il a une bonne connaissance dans des domaines comme les tests de pénétration, la sécurité des réseaux et la collecte de renseignements. Pour rechercher des failles, il se sert d’outils courants comme Mimikatz, Masscan, Shodan, Cobalt Strike et PowerShell.

Le RGPD et la cyber-assurance comme garantie de paiement

Dans leur discussion, Aleks est revenu sur son activité de ransomware qu’il a choisi pour des questions de rentabilité, mais aussi pour « enseigner » aux entreprises les risques de ne pas sécuriser leurs données. Interrogé par exemple sur les cibles dans le domaine de la santé, Aleks a indiqué qu’il ne ciblait pas le secteur de la santé… mais il en savait beaucoup sur quand les établissements payent, le type de données dont ils disposent et leur valeur exacte, souligne les chercheurs de Talos. Aleks leur a dit que « les hôpitaux payaient dans 80 à 90% des cas ».

Le pirate semble choisir ses victimes en fonction de leur capacité à payer rapidement. Il apprécie particulièrement des cibles européennes, car elles sont soumises au RGPD. Les victimes sont ainsi plus susceptibles de payer « rapidement et discrètement » afin d’éviter les sanctions prévues par le règlement sur la protection des données personnelles. A contrario, il déclare « ne pas aimer travailler aux Etats-Unis car il est plus difficile d’être payé, l’UE paie mieux et plus ». Des aveux qui ont étonné les chercheurs : « nous n’aurions jamais pensé que le RGPD soit un facteur de ciblage privilégié », indiquent-ils. Un autre élément regardé par le pirate, savoir si la victime a contracté une cyber-assurance qui assure la « quasi garantie » du paiement de la rançon. Il ne dit par-contre rien sur sa capacité à savoir quelles organisations ont souscrit ce type d’assurance.