Le groupe de cybercriminels Dark Angels a frappé un grand coup en début d’année. Les pirates ont persuadé une grande multinationale de verser une rançon record en échange de ses données. Le gang se distingue par une stratégie très différente de celle des autres professionnels de l’extorsion.
Un record pour les cybercriminels
Sans surprise, la rançon a été versée en cryptomonnaies. Les experts de Chainalysis ont en effet constaté le « plus gros paiement de ransomware jamais enregistré » par le biais de la blockchain. Les cybercriminels ont exigé un paiement en Bitcoin, une devise numérique dont les échanges sont facilement traçables sur la chaîne de blocs.
Il s’agit d’un montant record pour l’industrie des ransomwares. Le précédent record était détenu par les pirates derrière l’attaque contre CNA Financial, l’une des plus grandes compagnies d’assurance des États-Unis. En 2021, la société a accepté de verser 40 millions de dollars aux pirates d’Evil Corp qui ont paralysé son système informatique. Dans la foulée, les attaquants avaient subtilisé une montagne de données. Les cybercriminels ont utilisé un ransomware appelé Phoenix Locker lors de l’attaque.
Ces rançons élevées s’inscrivent dans le cadre d’une augmentation progressive des montants réclamés par les pirates. De plus en plus souvent, les cybercriminels visent les entreprises qui disposent de solides moyens financiers, surtout dans le monde de la santé. Les cybercriminels ciblent en effet les hôpitaux, les cliniques ou les compagnies d’assurance en dérobant toutes les données sensibles relatives à des patients. Avec ces informations en main, ils peuvent négocier des rançons pharaoniques. C’est ce qu’il s’est passé lors de la cyberattaque contre UnitedHealth Group, une importante compagnie d’assurances spécialisée dans la santé aux États-Unis. Celle-ci a accepté de verser 22 millions de dollars en cryptomonnaies pour éviter une fuite massive de données. En vain. Peu après le vol, les données se sont retrouvées sur le dark web.
En parallèle, le nombre d’attaques a considérablement baissé. Cette baisse est notamment due à la multiplication des opérations de police. Ces derniers mois, les forces de l’ordre ont frappé à plusieurs reprises les géants de l’extorsion, dont l’incontournable Lockbit.
En règle générale, les spécialistes de l’extorsion se servent d’un ransomware pour chiffrer toutes les données stockées sur l’ordinateur de leurs cibles. Les données chiffrées sont inaccessibles à leur propriétaire. Pour récupérer un accès, la victime doit s’acquitter d’une rançon. A contrario, les cybercriminels de Dark Angels ne chiffrent pas les données des cibles.
Les pirates vont plutôt voler les données, tout en laissant les systèmes informatiques opérationnels. En coulisses, ils vont alors menacer la victime de divulguer les informations. Pour éviter une fuite, la cible sera tentée de verser la rançon. Ce type d’offensives passe plus aisément sous le radar que les attaques par ransomware traditionnelles, qui s’accompagnent d’une perturbation des services. De facto, les entreprises, libérées de la pression de l’opinion publique, sont également plus enclines à collaborer avec leurs assaillants. Pour orchestrer l’attaque, les hackers se servent de ransomwares programmés par d’autres gangs, comme Babuk.
« Ils ne veulent vraiment pas faire la une des journaux ou provoquer des perturbations commerciales. Il s’agit de gagner de l’argent et d’attirer le moins d’attention possible », explique Brett Stone-Gross, directeur principal du renseignement sur les menaces chez Zscaler, au journaliste Brian Krebs.
Apparu en mai 2022, le gang Dark Angels est néanmoins responsable de « certaines des plus grandes attaques de ransomware », notamment contre « de grandes entreprises industrielles, technologiques et de télécommunications ».
« Dans la plupart des cas, le groupe vole une quantité massive d’informations, généralement entre 1 et 10 To. Pour les grandes entreprises, le groupe a exfiltré entre 10 et 100 To de données, ce qui peut prendre des jours, voire des semaines à transférer », ajoute Zscaler.
D’après les experts de Zscaler, il est probable que le succès de Dark Angels inspire d’autres groupes spécialisés dans les attaques par ransomware. On peut s’attendre à ce que d’autres gangs se mettent à « utiliser des tactiques similaires » dans un avenir proche.
Ransomware : une rançon record a été collectée par des cybercriminels en 2024 (01net.com)
