Par Cadfael

Selon le site « welivesecurity.com », le 2 juillet dernier un nombre important d’organisations et de sociétés ont découvert le message suivant sur leur écran d’ordinateur : « tous vos fichiers sont cryptés ». Le message contenait des indications qui menaient à un second , qui lui, disait : « vos messages sont actuellement inaccessibles », leur récupération est payante. Que s’est-il passé ?

Une version informatique de la rançon

Les pirates précisaient : « c’est juste du business. On en a que faire de vous et de vos opérations. Sauf en retirer des bénéfices. /…/ sur notre site vous pouvez vérifier vos fichiers, vous en avez un de disponible gratuitement. C’est notre garantie ». Ils ajoutaient, « si vous ne voulez pas coopérer avec nos services, pas de problème. Mais vous perdrez votre temps et vos données, car nous possédons la clef de chiffrage ». Enfin, le message renvoyait au navigateur Tor qui précisait alors « nous sommes les meilleurs ».

Il faut acheter la clef de décryptage et payer en XMR (Monero) et non en Bitcoin. XMR est une crypto-monnaie avec des fonctions de confidentialité très poussées. En date du 6 juillet cette monnaie valait 217,27 $ l’unité avec un volume d’échange sur les dernières 24 heures de 164.3 millions d’équivalents dollars.

Un mode opératoire rodé.

Selon le même schéma que la récente attaque « SolarWinds » celle-ci s’est faite via une société américaine de prestataire de services informatiques Kaseya dont le siège est à Dublin. Probablement, à partir d’une mise à jour non vérifiée. Une fois les serveurs infectés le virus se diffuse via les procédures informatiques classiques et commence à crypter les données. L’opération terminée, le message apparait sur les écrans et renvoie à la case “paiements”.

À partir de là, la diffusion du virus est démultipliée. D’autant plus que des sous-traitants de Kaseya sous-traitent de nouveau des services à des petites et moyennes entreprises… Faisant ainsi des dégâts sur plusieurs continents. En avril dernier, une société brésilienne de transformation de viande a été touchée et a été contrainte de payer une rançon de 11 millions pour être « libérée »

Aujourd’hui, le phénomène touche plusieurs milliers d’organisations et de sociétés privées. Selon le CEO de Kaseya, 50 à 60 % des clients directs seraient infectés dont 70% sous-traitent les services à des PME au Canada, aux États-Unis, au Royaume Uni et dans une moindre mesure en Amérique latine, Allemagne, Espagne, etc. Selon Reuters et Radio Free Europe, 800 magasins Coop ont été impacté en Suède, subissant un système de caisse désactivé. Également victimes, une chaine de pharmacie, les chemins de fer nationaux, une radio et une TV publique. En Nouvelle-Zélande ce sont des jardins d’enfants qui en font les frais.

Un savoir-faire russe.

L’auteurs de ces hacking serait, comme avec « SolarWinds », un syndicat criminel russe appelé « REvil ». Un prestataire de services du crime, qui selon CNN, offre ses services en fournissant les outils nécessaires à l’attaque et en prenant une commission au passage. Les pirates communiqueraient entre eux en russe et leurs attaques éviteraient de toucher à des intérêts russes. La date choisie, juste avant le 4 juillet, fête nationale américaine, n’est pas un hasard. Le président Joe Biden a activé la puissante machinerie de l’état américain afin d’élucider, de réprimer et de prévenir. Lors du sommet Poutine-Biden en juin dernier, le président américain aurait averti le président russe que si une enquête révélait que la Russie se trouvait impliquée, il y aurait une réponse américaine.

Une rançon revue à la baisse ?

Selon le Canberra Times, la rançon serait passée ce 6 juin, de 70 millions de dollars initialement exigés à 50 millions de dollars. Ce serait le prix à payer pour un « décrypteur universel », citant le « Krebs Stamos Group », spécialiste en cybersécurité, ancien patron de la cybersécurité US, de Facebook, et dont le premier client s’appelle « SolarWinds ». La même source précise que comme REvil est un syndicat, il est parfois difficile de savoir quelle est l’autorité de l’interlocuteur au sein du syndicat.