Il faut savoir que si la maxime est « ne négociez pas avec les attaquants de ransomware », la réalité est très différente pour les entreprises dont l’alternative est de tout perdre. Par conséquent, si vous devez payer, vous devez au moins envisager quelques conseils de négociation. Les analystes de Fox-IT, après avoir observé un ensemble de 700 négociations menées entre 2019 et 2020, ont décortiqué quelques réponses et conseils.

Il est important de comprendre que le compte à rebours commence lorsque vous cliquez sur le lien pour chatter avec l’attaquant. La stratégie doit donc être très claire au préalable. Localisez le point zéro, la communication et le montant qu’il est possible de payer. L’attaquant de l’autre côté sait parfaitement combien la victime peut se permettre de payer, mais elle est toujours prête à faire des économies si l’attaquant sait comment l’obtenir.

Il est également important de passer à un chat privé, à la fois pour les communications avec l’attaquant et en interne. Après les nombreuses fuites de ces derniers temps, il est possible qu’une tierce partie à l’opération ait accès à la négociation et s’en mêle pour son propre bénéfice.

Et surtout, même si cela fait mal, la meilleure stratégie est d’être professionnel avec l’attaquant de l’autre côté. Demandez toujours plus de temps, car cela fonctionne, pour négocier, pour contrôler la situation et pour évaluer les dommages. Connaître l’étendue de l’attaque et l’attaquant lui-même est le plus grand avantage pour pouvoir négocier un sauvetage avec une arme de la part de l’attaqué.

Plus d’information:
https://research.nccgroup.com/2021/11/12/we-wait-because-we-know-you-inside-the-ransomware-negotiation-economics/

Jusqu’où les attaquants professionnels sont-ils prêts à aller pour obtenir des « clients » à qui extorquer au travers de ransomwares ? Au point de créer une fausse entreprise dans le seul but de recruter des pentesters imprudents pour faire le sale boulot de s’introduire dans les entreprises ciblées sans le savoir. Les travailleurs, déjà lors de l’entretien, ont dû passer un test : s’introduire dans les systèmes de clients supposés de la fausse société. Ils ont reçu des outils typiques de ces attaquants et ont été encouragés à passer le test pour voir jusqu’où ils pouvaient aller « chez un client ». Les attaquants, une fois qu’ils ont eu accès à la victime, ont lancé le ransomware. Le travailleur en herbe croyait avoir atteint son objectif.

Le groupe FIN7 l’a fait au milieu des années 20 avec une fausse société appelée Combi Security et maintenant avec Bastion Secure. Ils ont prétendu être dans le secteur de la sécurité du secteur public. Tout a été mis au jour parce que Gemini Advisory, une entreprise légitime, a infiltré le processus de recrutement (via Telegram) et s’est vu proposer, sans rien signer, de s’introduire dans une entreprise en utilisant les outils typiques de FIN7. Il avait répondu à des annonces en ligne où Bastion Secure demandait des pentesters.

Pourquoi faire ça ? Il est beaucoup moins coûteux d’embaucher une personne dans une entreprise supposée légitime (environ 1 200 dollars par mois en Russie) que de payer quelqu’un dans la clandestinité qui, sachant ce que gagnent les attaquants et le risque qu’il court, demandera probablement plus.

Plus d’information:
https://therecord.media/cybercrime-gang-sets-up-fake-company-to-hire-security-experts-to-aid-in-ransomware-attacks/amp/