Talos, la branche de renseignement cyber du groupe américain Cisco, a publié un compte-rendu d’échanges avec un hacker ordinaire basé en Russie, qui permet de comprendre un peu mieux qui sont les acteurs derrière l’explosion des cyber-attaques d’entreprises observées en 2020.
Les chercheurs en cybersécurité de Talos sont entrés en contact avec «Aleks» – un pseudonyme attribué par Talos – via Twitter, où le pirate évoquait son activité. Ils ont eu des entretiens par messagerie avec lui pendant le mois de septembre et début octobre.
«Aleks» est un trentenaire qui vit en Sibérie et qui «en apparence vit une vie normale pleine d’impératifs familiaux, d’échéances professionnelles et d’activités de loisir», rapporte Talos.
Il est entré dans le métier de l’extorsion de fonds numérique par désillusion, après un début de vie professionnelle frustrant. Ses talents pour déceler des failles informatiques n’ont pas été suffisamment reconnus et valorisés par les entreprises russes, a-t-il confié à Talos. «A l’Ouest, je travaillerais probablement comme expert en sécurité, je gagnerais bien», a-t-il dit à ses interlocuteurs. Les cibles d’Aleks se situent principalement dans l’Union européenne et aux États-Unis. Mais l’Europe «paie plus vite et plus» les rançons demandées après cryptage des données, a-t-il indiqué à Talos. Selon lui, les entreprises européennes ont très peur du Règlement européen sur la protection des données (RGPD), qui permet de les sanctionner quand elles ont commis des manquements à la sécurité des données personnelles de leurs clients.
Pour attaquer ses victimes, Aleks utilise des vulnérabilités logicielles connues et publiées, mais que les entreprises tardent souvent à corriger. Son fournisseur pour la partie «rançongiciel» proprement dite est LockBit, un groupe avec lequel il entretient des communications privilégiées et dont il partage l’approche très guidée par la rentabilité des opérations.
Pour Aleks, Maze (un groupe concurrent qui a annoncé la fin de ses activités) prenait des commissions trop élevées – jusqu’à 35% de la rançon – tandis que REvil (connu aussi sous le nom de Sodinokibi) «rend les fichiers instables» et Netwalker «ralentit trop les systèmes». Sur la base de ses conversations avec Aleks, Talos prédit l’expansion des attaques de LockBit et consorts, dans la mesure notamment «où il ne semble y avoir aucune barrière pour l’entrée sur le marché» d’acteurs disposant de certaines connaissances techniques. «L’explosion du travail à distance et de l’enseignement en ligne accroît encore le nombre de potentielles cibles vulnérables», estiment-ils.
