{"id":13705,"date":"2020-02-12T14:06:12","date_gmt":"2020-02-12T14:06:12","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=13705"},"modified":"2020-02-12T14:06:12","modified_gmt":"2020-02-12T14:06:12","slug":"ransomware-data-disclosure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/ransomware-data-disclosure\/13705\/","title":{"rendered":"Les sauvegardes ne sont pas la solution miracle lorsque les cybercriminels publient les donn\u00e9es vol\u00e9es"},"content":{"rendered":"

Publication des donn\u00e9es, quand les menaces sont r\u00e9elles<\/strong><\/h2>\n

Certaines informations confidentielles seront rendues publiques\u00a0; ces menaces n\u2019ont rien de nouveau. Par exemple, en 2016, le groupe \u00e0 l\u2019origine du CryptoLocker qui a infect\u00e9 les syst\u00e8mes de la San Francisco Municipal Railway<\/a> (entreprise qui g\u00e8re les transports en commun de la ville) a utilis\u00e9 cette m\u00e9thode. Pourtant les escrocs ne sont jamais pass\u00e9s \u00e0 l\u2019action.<\/p>\n

Maze \u00e9tait le premier<\/strong><\/h3>\n

Contrairement \u00e0 ses pr\u00e9d\u00e9cesseurs, le groupe derri\u00e8re le ransomware Maze a tenu ses promesses fin 2019, et a agi plusieurs fois. En novembre, lorsque Allied Universal a refus\u00e9 de payer, les cybercriminels ont divulgu\u00e9 sur Internet 700 Mb de donn\u00e9es internes<\/a> (contrats, accords de r\u00e9siliation, certificats num\u00e9riques, etc.). Les ma\u00eetres-chanteurs ont dit n\u2019avoir publi\u00e9 que 10 % des donn\u00e9es qui \u00e9taient en leur possession et ont menac\u00e9 l\u2019entreprise de publier le reste si elle refusait de coop\u00e9rer.<\/p>\n

En d\u00e9cembre, les acteurs de Maze ont cr\u00e9\u00e9 un site Internet<\/a> et l\u2019ont utilis\u00e9 pour publier les noms des entreprises prises pour cible, la date \u00e0 laquelle elles ont \u00e9t\u00e9 infect\u00e9es, la quantit\u00e9 de donn\u00e9es d\u00e9rob\u00e9es, et les adresses IP et les noms des serveurs infect\u00e9s. Ils ont aussi t\u00e9l\u00e9charg\u00e9 certains documents. \u00c0 la fin du mois, 2 Gb de fichiers, appartenant soi-disant \u00e0 la ville de Pensacola<\/a>, Florida, ont \u00e9t\u00e9 mis en ligne. Les escrocs ont expliqu\u00e9 qu\u2019ils avaient publi\u00e9 ces informations pour montrer qu\u2019ils ne bluffaient pas.<\/p>\n

En janvier, les cr\u00e9ateurs de Maze ont t\u00e9l\u00e9charg\u00e9<\/a> 9,5 Gb de donn\u00e9es de l\u2019entreprise Medical Diagnostic Laboratories et 14,1 Gb de documents du c\u00e2blier Southwire, qui avait auparavant poursuivi les cybercriminels en justice pour avoir r\u00e9v\u00e9l\u00e9 des donn\u00e9es confidentielles. Le verdict a ordonn\u00e9 la cl\u00f4ture du site Internet Maze mais les choses ne s\u2019arr\u00eatent pas l\u00e0.<\/p>\n

Ensuite nous avons Sodinokibi, Nemty et BitPyLock<\/strong><\/h3>\n

D\u2019autres cybercriminels sont entr\u00e9s en jeu. Le groupe \u00e0 l\u2019origine du ransomware Sodinokibi, utilis\u00e9 pour attaquer l\u2019entreprise financi\u00e8re internationale Travelex au nouvel an, a expliqu\u00e9 d\u00e9but janvier qu\u2019il avait l\u2019intention de publier les donn\u00e9es des clients de l\u2019entreprise<\/a>. Les cybercriminels ont expliqu\u00e9 qu\u2019ils disposaient de plus de 5 Gb de renseignements\u00a0: dates de naissance, num\u00e9ros de s\u00e9curit\u00e9 sociale, num\u00e9ros des cartes bancaires, etc.<\/p>\n

Travelex n\u2019a trouv\u00e9 aucune preuve indiquant qu\u2019il y avait eu une fuite et a refus\u00e9 de payer. D\u2019autre part, les escrocs ont dit que l\u2019entreprise avait accept\u00e9 d\u2019entamer les n\u00e9gociations.<\/p>\n

Le 11 janvier, ce m\u00eame groupe a mis en ligne<\/a> les liens de pr\u00e8s de 337 Mb de donn\u00e9es sur le tableau d\u2019affichage des pirates informatiques. Ces donn\u00e9es appartenaient \u00e0 l\u2019agence de recrutement Artech Information Systems qui a refus\u00e9 de payer la ran\u00e7on. Les escrocs ont expliqu\u00e9 qu\u2019ils n\u2019avaient publi\u00e9 qu\u2019une partie des informations vol\u00e9es, et qu\u2019ils essaieraient de vendre les informations restantes sauf si les victimes collaboraient.<\/p>\n

Les auteurs du malware Nemty ont \u00e9t\u00e9 les suivants \u00e0 annoncer<\/a> qu\u2019ils publieraient les donn\u00e9es confidentielles des entreprises qui refusaient de payer. Ils ont essay\u00e9 de cr\u00e9er un blog o\u00f9 ils publieraient petit \u00e0 petit les documents internes des victimes qui ne suivraient pas les instructions.<\/p>\n

Les cybercriminels du ransomware BitPyLock ont suivi la tendance<\/a> et ont compl\u00e9t\u00e9 leur demande de ran\u00e7on en indiquant qu\u2019ils publieraient publiquement les donn\u00e9es confidentielles des victimes si elles refusaient de payer. M\u00eame s\u2019ils n\u2019ont encore rien fait, il est fort probable que BitPyLock vole aussi des donn\u00e9es.<\/p>\n

Pas seulement un ransomware<\/strong><\/h2>\n

Les fonctions avanc\u00e9es ajout\u00e9es aux programmes ransomwares n\u2019ont rien de nouveau. Par exemple, en 2016, une version du cheval de Troie Shade installait des outils d\u2019administration \u00e0 distance<\/a> au lieu de chiffrer les fichiers s\u2019il s\u2019av\u00e9rait qu\u2019il avait infect\u00e9 un dispositif de comptabilit\u00e9. CryptXXX a chiffr\u00e9 les fichiers et a vol\u00e9 les Bitcoins et les identifiants des victimes<\/a>. Le groupe \u00e0 l\u2019origine de RAA a ajout\u00e9 le cheval de Troie Pony \u00e0 certains sp\u00e9cimens du malware<\/a> pour qu\u2019il s\u2019en prenne aussi aux identifiants. La capacit\u00e9 du ransomware \u00e0 voler les donn\u00e9es ne devrait pas vous surprendre, surtout maintenant que les entreprises reconnaissent de plus en plus qu\u2019elles doivent faire une copie de sauvegarde de leurs renseignements.<\/p>\n

Il est inqui\u00e9tant de constater que les sauvegardes ne sont pas prot\u00e9g\u00e9es contre ces attaques. Si vous \u00eates infect\u00e9, il vous sera impossible d\u2019\u00e9viter les pertes, et nous ne parlons pas seulement de la ran\u00e7on \u00e0 payer. Les escrocs n\u2019offrent aucune garantie. La seule fa\u00e7on de vous prot\u00e9ger est d\u2019emp\u00eacher le malware d\u2019avoir acc\u00e8s \u00e0 vos syst\u00e8mes.<\/p>\n

Comment se prot\u00e9ger des ransomwares<\/strong><\/h2>\n

Il reste \u00e0 voir si cette nouvelle mode va montrer son efficacit\u00e9 ou si elle sera rapidement abandonn\u00e9e. Ces attaques commencent \u00e0 peine \u00e0 prendre de l\u2019ampleur alors prot\u00e9gez-vous. Cela signifie que vous devez \u00e9viter les atteintes \u00e0 votre r\u00e9putation et la divulgation de secrets industriels. Si les cybercriminels peuvent obtenir les donn\u00e9es personnelles de votre client alors vous pourriez faire face \u00e0 de lourdes amendes. Voici quelques conseils :<\/p>\n