Le gang de rançongiciels Clop devrait gagner entre 75 et 100 millions de dollars en extorquant les victimes de leur campagne massive de vol de données MOVEit.
Dans un nouveau rapport publié aujourd’hui, Coveware explique que le nombre de victimes payant des rançons est tombé à un niveau record de 34 %, obligeant les gangs de rançongiciels à changer de stratégie pour rendre leurs attaques plus rentables.
Coveware explique que différentes attaques d’extorsion ont des coûts d’opportunité variables reflétés par la quantité d’efforts et d’investissements nécessaires pour mener une attaque par rapport à la demande de rançon attendue.
La relation entre l’impact sur une victime et les coûts de l’auteur de la menace (temps, efforts et investissement) pour mener l’attaque est illustrée dans le tableau ci-dessous. L’axe vertical représente l’impact sur la victime, tandis que l’axe horizontal illustre les coûts de l’auteur de la menace.
Source : BleepingComputer
Le graphique montre que les attaques d’extorsion avec la complexité et l’automatisation les plus faibles ont le moins d’impact sur les victimes et de coût pour les attaquants.
Cela se reflète dans les demandes de rançon, avec des attaques fantômes (ingénierie sociale), l’effacement de la base de données avec des rançons et des attaques de cryptage NAS comme Qlocker , ayant généralement de faibles demandes de rançon en raison de l’automatisation et du manque de complexité des attaques.
Pour des attaques comme celles-ci, les demandes de rançon varient généralement entre quelques centaines de dollars et des milliers de dollars, les acteurs de la menace espérant qu’un grand volume de paiements compensera les faibles prix des rançons.
Cependant, des attaques plus compliquées et chronophages avec un impact plus important génèrent des demandes de rançon bien plus importantes, généralement des millions.
Clop change de tactique alors que les paiements baissent
Le 27 mai, le gang de rançongiciels Clop a lancé des attaques généralisées de vol de données en exploitant une vulnérabilité de type « jour zéro » dans la plateforme de transfert de fichiers sécurisé MOVEit Transfer.
Ces attaques devraient toucher des centaines d’entreprises dans le monde, nombre d’entre elles ayant déjà informé leurs clients concernés au cours des deux derniers mois.
Cependant, Coveware affirme que les attaques d’extorsion axées uniquement sur le vol de données ont diminué les paiements au fil du temps, les victimes préférant divulguer les attaques et émettre des notifications de violation de données plutôt que de payer les acteurs de la menace.
“Les attaques DXF uniquement ne provoquent pas de perturbations commerciales importantes comme l’impact du chiffrement, mais peuvent nuire à la marque et créer des obligations de notification”, explique le rapport de Coveware.
“La probabilité qu’une rançon soit payée est inférieure à 50 %, mais le ($) d’une demande de rançon pour les attaques DXF uniquement est relativement élevé.”
Source : Coveware
Coveware dit que Clop a changé sa stratégie d’extorsion en exigeant des demandes de rançon beaucoup plus importantes que celles observées auparavant dans les attaques d’exfiltration de données, en espérant que quelques paiements importants surmonteront la baisse globale.
Selon l’estimation de Coveware, seules quelques victimes de vol de données MOVEit sont susceptibles de payer. Néanmoins, Clop devrait toujours amasser un montant impressionnant de 75 à 100 millions de dollars uniquement grâce à ces paiements, compte tenu des demandes de rançon substantielles.
“Il est probable que le groupe CloP puisse gagner entre 75 et 100 millions de dollars rien que grâce à la campagne MOVEit, cette somme provenant d’une petite poignée de victimes qui ont succombé à des paiements très élevés”, explique Coveware.
“Il s’agit d’une somme d’argent dangereuse et stupéfiante à posséder pour un groupe relativement petit.”
Le PDG de Coveware, Bill Siegel, a déclaré à BleepingComputer que le succès de Clop dans ces attaques est nettement supérieur à ses récentes attaques de vol de données GoAnywhere , où les acteurs de la menace n’ont fait que 130 victimes et n’ont reçu que quelques paiements de rançon.
Siegel pense que les attaques de vol de données Accellion FTA de Clop en 2021 ont réussi parce que les victimes n’étaient pas aussi bien informées sur les avantages et les inconvénients de payer pour empêcher la fuite de données. De plus, les médias ont accordé beaucoup plus d’attention aux violations individuelles en 2021, les médias devenant désormais insensibles à ces types d’attaques.
“Aujourd’hui, les victimes sont beaucoup mieux informées sur les avantages et les inconvénients de ces situations (les inconvénients l’emportant très clairement sur les avantages dans la plupart des situations)”, a déclaré Siegel à BleepingComputer.
“Ainsi, alors qu’Accellion a été un assez gros succès financier car un pourcentage plus élevé de victimes a été payé sur un assez petit bassin de victimes, GoAnywhere semblait être un flop presque total sur un autre petit bassin de victimes.”
“MOVEit a eu au moins 10 fois plus de victimes directes que ces deux attaques, donc CloP a pu se concentrer uniquement sur les plus importantes et les plus susceptibles d’envisager de payer, même avec plus de 90 % des victimes qui ne prennent même pas la peine de s’engager dans une négociation, encore moins de payer.”
Les affiliés de Ransomware se tournent vers de nouvelles opérations
En plus de l’évolution des tactiques d’attaques de vol de données, Coveware a également connu un changement en ce qui concerne les attaques de chiffrement de ransomware.
Coveware affirme qu’il y a eu une réduction spectaculaire des opérations de Ransomware-as-a-Service ciblant les petites entreprises, car obtenir des paiements de rançon est devenu beaucoup plus difficile.
En conséquence, les petites opérations de ransomware telles que Dharma et Phobos ont vu une diminution de près de 37 % des attaques en 2023.
Au lieu de cela, Coveware a observé un changement parmi davantage d’affiliés au sein de ces groupes, alors qu’ils passent à la nouvelle opération de rançongiciel 8base qui utilise le chiffreur Phobos pour cibler les entreprises dans des attaques à plus grande échelle.
Un récent rapport de VMware a lié 8base à RansomHouse, une opération de rançongiciel connue pour cibler les grandes organisations et permettre aux affiliés d’exiger des rançons plus importantes.
English 
French