Les professionnels de la cybersécurité qui sont censés négocier avec les attaquants de ransomware sont désormais eux-mêmes accusés de faciliter les attaques de ransomware. Le ministère de la Justice des États-Unis a annoncé des accusations contre deux employés d’une société de négociation en cybersécurité et un co-conspirateur pour piratage et déploiement de ransomware.
Les personnes travaillaient pour DigitalMint, une société spécialisée dans la négociation avec les cybercriminels au nom d’organisations touchées par les ransomwares. Un troisième suspect, ancien responsable de la réponse aux incidents dans une autre entreprise, est accusé d’avoir participé au stratagème. L’acte d’accusation allègue que les suspects ont piraté des entreprises, volé des données confidentielles d’entreprise et utilisé un ransomware développé par le groupe connu sous le nom d’ALPHV/BlackCat pour extorquer des victimes.
Selon les accusations, les employés de DigitalMint ont abusé de leur rôle de confiance en infiltrant les réseaux des victimes, en obtenant des informations sensibles, puis en lançant des ransomwares contre ces mêmes cibles. Les procureurs décrivent cela comme une grave trahison de la confiance que les organisations accordent aux partenaires de cybersécurité. Le DOJ a noté que la conduite comprenait « du piratage non autorisé, du vol de données et le déploiement de ransomwares » sous le couvert de services de négociation.
Cette affaire met en évidence une tendance inquiétante, car des acteurs positionnés comme conseillers défensifs ou négociateurs sont impliqués dans des opérations offensives. Les organisations qui font appel à des entreprises tierces pour négocier avec des adversaires de ransomware peuvent avoir besoin de réévaluer leurs dépendances et leurs contrôles. Le double rôle de défenseur et d’attaquant complique les cadres de confiance et de surveillance dans la chaîne d’approvisionnement de la cybersécurité.
La négociation d’un ransomware est par nature un enjeu élevé. Les victimes qui interagissent avec les attaquants par le biais d’intermédiaires espèrent généralement minimiser les dégâts, récupérer les systèmes cryptés et empêcher les fuites de données. Mais lorsque la partie négociante est complice de la chaîne d’attaque, cela crée un conflit d’intérêts et introduit de nouveaux risques. Les hypothèses traditionnelles sur les médiateurs de confiance ne s’appliquent plus toujours.
L’acte d’accusation ne révèle pas le nombre d’organisations victimes ni le total des pertes causées par le stratagème présumé. Il souligne toutefois que la variante de ransomware utilisée, BlackCat/ALPHV, est un outil prolifique dans les campagnes de chasse au gros gibier. Les analystes ont suivi le groupe extorquant des paiements de plusieurs millions de dollars et menaçant d’exposer les données si les demandes ne sont pas payées.
Pour les organisations qui s’appuient sur des services de négociation en cas d’incidents de ransomware, plusieurs mesures de précaution apparaissent. Tout d’abord, la diligence raisonnable des entreprises de négociation doit inclure des évaluations de l’indépendance, des autorisations d’accès et des historiques d’intervention en cas d’incident. Deuxièmement, les contrôles contractuels et techniques devraient limiter l’accès du négociateur aux environnements sensibles jusqu’à ce que son rôle soit clairement défini et délimité. Troisièmement, les plans de réponse aux incidents doivent tenir compte des scénarios dans lesquels les services de négociation eux-mêmes peuvent être compromis.
Dans un contexte plus large, l’évolution du rôle des cabinets de négociation reflète la complexité croissante des écosystèmes de ransomware. Les attaquants ne se contentent pas de chiffrer les données et d’exiger un paiement. Ils peuvent désormais s’appuyer sur des partenaires de confiance, des initiés ou des acteurs externes se faisant passer pour des défenseurs pour obtenir un accès initial, se déplacer latéralement et lancer des campagnes d’extorsion. Cela augmente le risque organisationnel au-delà de l’intrusion initiale pour inclure la chaîne d’approvisionnement intermédiaire de la réponse aux incidents et de la négociation.
Les défenseurs doivent se concentrer sur le renforcement de la visibilité sur toutes les parties impliquées dans un incident de ransomware, non seulement l’adversaire, mais aussi le réseau d’intervenants et de négociateurs. Cela implique de vérifier les références des cabinets de négociation, de suivre leurs activités en temps réel et de maintenir des structures de gouvernance des incidents qui séparent les rôles de négociation et d’accès et de remédiation.
Les accusations du DOJ soulignent la nécessité d’un examen réglementaire et de normes professionnelles dans le secteur de la négociation de ransomwares. À mesure que le rôle des intermédiaires de négociation devient plus formalisé, des questions relatives à l’octroi de licences, à la surveillance et à l’éthique peuvent se poser. L’affaire pourrait créer un précédent sur la façon dont les gouvernements et l’industrie réglementent le marché plus large de la réponse aux incidents.
Les ransomwares restent une menace majeure, mais cette évolution déplace une partie de la surface de la menace vers le domaine des services de confiance. Les organisations doivent traiter les services de négociation comme faisant partie de l’écosystème de réponse aux incidents qui nécessite le même niveau de vérification et de sécurité que tout autre fournisseur disposant d’un accès privilégié. Si vous ne le faites pas, vous risquez de transformer une ressource d’aide en vecteur de menace.