Comment négocier avec les gangs de ransomware
Quand une entreprise est frappée par un ransomware, négocier avec les cybercriminels peut permettre de gagner du temps ou de faire baisser la rançon. Encore faut-il avoir toutes les cartes en main. Un rapport des chercheurs en cybersécurité de Fox-IT indique comment s'y prendre.
Toujours plus d'entreprises sont la cible d'attaques par ransomware. Entre août 2020 et août 2021, près de 2700 firmes suisses ont vu leurs données cryptées, volées puis exposées sur le darknet. Et ce chiffre ne prend pas en compte les firmes - probablement nombreuses - qui se sont acquittées de la rançon en échange de la clé de déchiffrement de leurs données.
Experts en cybersécurité, organismes gouvernementaux ou assureurs, tous déconseillent d'entrer en discussions avec les auteurs de telles attaques. Reste que selon la somme exigée, s’acquitter de la rançon peut dans certains cas générer moins de pertes… Une réalité dont les criminels ont parfaitement conscience, indiquent dans un rapport les chercheurs en cybersécurité de Fox-IT (intégré au NCC Group). Pour se convaincre ou non de la pertinence d'entamer des négociations, beaucoup d’entreprises touchées vont mettre dans la balance les coûts de restauration des données et du redémarrage des services, ainsi que l'indemnisation des clients touchés. Sans oublier les possibles amendes infligées par les autorités pour défaut de protection de données personnelles.
Basée sur des données issues de plus de 700 négociations entre cyberpirates et victimes, l’étude de Fox-IT porte un éclairage sur les stratégies de négociations des attaquants, tout en fournissant un éventail de conseils aux entreprises qui décideraient de discuter.
Se préparer à négocier
Avant même d'initier le dialogue, les entreprises ont intérêt à clarifier leurs objectifs histoire d’avoir un maximum de cartes en main. S’agit-il d’entamer un dialogue pour gagner du temps et déterminer l’ampleur des mesures à prendre pour restaurer les services ou de négocier à la baisse la rançon exigée? Et dans ce dernier cas, combien l'entreprise peut-elle se permettre de payer? Il convient en outre de connaître les détails relatifs à la souscription d’une éventuelle cyberassurance et s’informer sur les attaquants et le logiciel de chiffrement qu’ils utilisent.
Un ton respectueux
Une fois dans le vif des négociations, les chercheurs de Fox-IT ont constaté que d’opter pour un ton respectueux pouvait parfois permettre de négocier le montant de la rançon à la baisse. «Considérez la crise causée par un ransomware comme une transaction commerciale», suggèrent les auteurs du rapport. De plus, il ne faudrait pas hésiter à demander un délai supplémentaire aux cybercriminels, qui l’acceptent dans certains cas. Par exemple, en leur faisant savoir que des responsables au sein de l’entreprise tardent à prendre une décision. Ou que l’achat de cryptomonnaie pour payer la rançon nécessitera davantage de temps.
Proposer moins mais plus vite
Il peut aussi s’avérer utile d’avoir en tête que les spécialistes de la cyber-extorsion aiment conclure rapidement un accord pour passer à leur prochaine cible. Une baisse non négligeable de la rançon serait souvent accordée en proposant de payer tout de suite qu’une part du montant demandé. Cette offre pourrait s'avérer encore plus tentante, pour les cybercriminels, s’ils commencent à croire que l'entreprise n’est tout simplement pas en mesure de payer la somme exigée. «L'une des stratégies les plus efficaces consiste à convaincre l'adversaire que votre situation financière ne vous permet pas de payer le montant de la rançon initialement demandée», soulignent les chercheurs de Fox-IT.
Cacher toute souscription à une cyberassurance
Le fait d’avoir souscrit à une cyberassurance qui couvre le montant de la rançon (une pratique critiquée) peut pousser les entreprises à rapidement céder aux demandes des pirates. Mais pour espérer tirer un quelconque avantage des négociations avec les attaquants, ces derniers ne doivent en aucun cas connaître l'existence d'une telle couverture. Il ne faut donc surtout pas stocker les documents relatifs à cette assurance sur des serveurs accessibles.
>> lire le rapport complet de Fox-IT