Les gangs de ransomware recherchent des compétences humaines pour les négociations

La sophistication croissante de la cybercriminalité souterraine se reflète maintenant dans la façon dont les opérations ransomware mis en place leurs équipages, à la recherche de talents spécialisés et de compétences. En effet, certains gangs en viennent à ressembler à des entreprises, avec des rôles diversifiés et des négociations externalisées avec les victimes, selon une nouvelle recherche publiée par Kela, un fournisseur de services de renseignement sur les menaces.

Victoria Kivilevich, analyste chez Kela, et d’autres membres de l’équipe ont passé plus d’un an à surveiller l’écosystème des emplois cybernétiques du Dark Web et ont rapidement établi l’existence de quatre principaux domaines de spécialisation:

• Codage ou acquisition de logiciels malveillants avec les capacités nécessaires.
• Infecter les victimes ciblées.
• Maintenir l’accès aux systèmes des victimes, et exfiltrer et traiter leurs données.
• Monétisation, encaissement, vente ou monétisation des données volées.

Chacune de ces étapes implique diverses activités malveillantes où diverses compétences peuvent être utiles, et Kivilevich a déclaré que son équipe avait constaté que lorsque l’on examine spécifiquement la chaîne d’approvisionnement des ransomwares, de nombreux acteurs se concentrent sur le créneau de l’extraction, en se concentrant sur l’escalade de leurs privilèges au sein du réseau compromis, et le créneau de monétisation, où les acteurs sont impliqués dans l’extraction de rançons pendant les négociations avec les victimes.

Les personnes ayant les compétences appropriées – et pas nécessairement techniques – pour réussir les négociations de rançon sont particulièrement appréciées, a constaté Kela. « Nous avons observé plusieurs messages [on the dark web] décrivant un nouveau rôle dans l’écosystème des ransomwares, les négociateurs, dont le but est de forcer la victime à payer une rançon en utilisant des informations et des menaces d’initiés », a déclaré Kivilevich.

« Les victimes ont commencé à faire appel à des négociateurs – alors qu’il y a quelques années, il n’y avait pas une telle profession, il y a maintenant une demande de services de négociation. Les spécialistes de la négociation de ransomwares s’associent aux compagnies d’assurance et ne manquent pas de clients. Les acteurs de Ransom ont également dû augmenter leur jeu, afin de faire de bonnes marges.

« Comme la plupart des acteurs de la rançon ne sont probablement pas de langue maternelle anglaise, des négociations plus délicates – en particulier autour de budgets très élevés et de situations commerciales complexes environnantes – nécessitaient un meilleur anglais. Lorsque le représentant de REvil était à la recherche d’un membre « de soutien » de l’équipe pour tenir des négociations, ils ont spécifiquement mentionné « l’anglais conversationnel » comme l’une des demandes. Ce n’est pas un cas nouveau: les acteurs s’intéressent aux anglophones natifs pour les utiliser pour les campagnes de spear-phishing.

Kivilevich a trouvé plusieurs fils sur des forums souterrains russophones où les cybercriminels cherchaient des négociateurs et discutaient de leur travail.

Dans l’image ci-dessous – que Kela a traduite du russe à l’aide des services Google – un acteur de la menace qui a déjà établi sa persistance sur le réseau d’une victime en Arabie saoudite semble appeler un initié, ou quelqu’un ayant des contacts, dans les entreprises de cybersécurité du Moyen-Orient qui peut remettre les coordonnées des responsables informatiques de la victime afin de mener des négociations. Dans ce cas, la rémunération serait comprise entre 1 et 5 millions de dollars (720 000 à 3,6 millions de livres sterling, ou 840 000 à 4,22 millions d’euros), soit probablement environ 20% de la rançon.

Et tout comme une organisation légitime pourrait réserver un entrepreneur qui s’avère être un mauvais ajustement, les gangs ransomware peuvent également prendre de mauvaises décisions d’embauche, et sur certains des forums, Kela a trouvé des preuves de désaccords entre les gangs ransomware et leurs armes à feu embauchées (voir image ci-dessous).

Dans un cas documenté, une mauvaise communication entre un affilié de Conti et un négociateur engagé a éclaté en un différend pur et simple lors de la tentative d’extorsion du district scolaire public du comté de Broward en Floride en avril 2021.

Le négociateur a affirmé qu’ils avaient des informations privilégiées qui forceraient la victime à payer – ils avaient exigé 40 millions de dollars, en soi un dépassement massif – mais a ensuite accusé l’affilié de Conti de s’immiscer dans les négociations et de gérer leurs efforts. Conti a répliqué en accusant les négociateurs de se comporter de manière non professionnelle.

D’autres ont ensuite pesé sur le forum avec leurs expériences, avec un représentant de REvil – actuellement au centre de l’incident de Kaseya en cours – accusant le négociateur d’être un escroc.

Le rapport de Kela va plus en détail sur certains des rôles spécialisés que les opérateurs de ransomware sont prêts à payer beaucoup d’argent, tels que les courtiers d’accès, les spécialistes des intrusions (ou les testeurs de pénétration) et les propriétaires de botnets pour les attaques par déni de service distribué (DDoS) associées. Il peut être lu dans son intégralité ici.