Varonis, acteur des solutions de cybersécurité, publie les détails d’une forme inédite de délinquance numérique, via les cyberassurances. Depuis novembre 2022, la version 2 du ransomware Hardbit circule actuellement avec toutes les caractéristiques de ce type de menace, suppression des sauvegardes, cryptage des données, persistance de la menace. Mais il ajoute la manipulation à cette panoplie classique de dommages. Benoit Grunemwald, expert en cybersécurité chez ESET France détaille ce nouveau risque :
"À l'origine, les cyberassurances étaient uniquement destinées à couvrir les frais de reprise d’activité des victimes. Cependant, les groupes de ransomware ont exploité ce modèle en soutirant indirectement aux compagnies d'assurance le paiement de rançons astronomiques. Les attaques de HardBit montrent que les groupes de rançongiciels vont plus loin et "innovent".
Les victimes ont 48 heures pour contacter l'attaquant via Tox, l’application open source de messagerie de communication peer-to-peer cryptée. Un court délai habituel pour accentuer la pression sur les victimes.
Avant de demander, un montant en bitcoins, le groupe pirate négocie avec les victimes comme dans une réelle transaction commerciale. Il leur demande si elles ont souscrit une cyberassurance et si oui, quel est le montant des garanties et des couvertures, de sorte d’ajuster la rançon exigée. De manière retorse, l'acteur de la menace tente de convaincre la victime que l'assureur couvrira ainsi l’extorsion financière. Dans les faits, les cyberassureur sont de plus en plus frileux, les primes augmentent, le périmètre de couverture diminue, les franchises s’accroissent. Les assureurs exigent aujourd’hui des informations complètes et précises à leurs clients pour prévenir les dérapages. Il n’est pas sûr dans ces conditions que les menaces de type Hardbit se répandent et parviennent à convaincre toutes les victimes.
Une évolution dans les techniques d’attaques
La note technique de Varonis indique que HardBit 2.0 dispose de capacités déjà connues pour détruire les défenses des points d’accès et les terminaux, tels la modification du registre de Windows, la désactivation de Windows Defender, l'analyse des processus et le contrôle d’accès des fichiers système.Ce malware cible également 86 processus système pour les arrêter, afin de permettre de crypter des fichiers essentiels. Hardbit rend aussi la menace persistante via le dossier Startup et supprime les copies des volumes des disques pour complexifier la récupération des données.
Mais HardBit innove également, notamment pendant la phase de chiffrement des données essentielles. Ainsi, au lieu d'écrire les données cryptées enregistrées sous la forme de copies de fichiers et de supprimer les originaux comme le font de nombreuses souches malveillantes, le malware ouvre les fichiers ciblés et écrase leur contenu avec des données cryptées. Une manière d’accélérer le cryptage mais aussi d’accroitre les difficultés des experts lors de la tentative de récupération des fichiers originaux par les experts en cybersécurité.
