Dans l’univers des ransomwares, qu’est-ce que la « triple extorsion » ? On a vu émerger le terme il y a quelques semaines, essentiellement en référence à l’ajout du DDoS dans l’arsenal de groupes cybercriminels. Notamment Avaddon et REvil. Ils s’engageaient à fournir ce service à leurs « affiliés » en complément au socle dit de « double extorsion », à savoir vol + chiffrement de données.
REvil, entre autres, ne s’est pas arrêté là dans l’extension de ses prestations. Il a aussi enrichi son catalogue de moyens de pression avec les appels téléphoniques. À deux destinataires. D’un côté, les partenaires commerciaux des victimes. De l’autre, les médias.
Chez Check Point, on mentionne autant le DDoS que les appels téléphoniques. Mais on considère que le véritable marqueur de la « triple extorsion » est ailleurs. En l’occurrence, dans le fait de demander des rançons à des victimes collatérales. En première ligne, celles dont on a récupéré des données.
Pour illustrer son propos, l’éditeur américain cite le cas Vastaamo. Cette entreprise exploite un réseau de cliniques en Finlande. En octobre 2020, on a appris qu’elle avait subi une cyberattaque. La chronologie des événements reste incertaine (la première intrusion pourrait remonter à 2019, voire à 2018). L’ampleur est plus claire : on a dérobé les données de l’essentiel du personnel… et d’environ 36 000 patients.
Le 24 octobre, ces victimes ont commencé à recevoir des e-mails. Voire, pour quelques-uns, des lettres et/ou des coups de téléphone. Motif : une demande de rançon, à hauteur de quelques centaines d’euros et à payer en bitcoins. Quelques-uns auraient effectué la démarche, sous la menace de voir leurs données publiées.
Ce qui s’est joué autour de cette date laisse beaucoup d’hypothèses ouvertes. La tentative d’extorsion des patients semble être intervenue dans un second temps. Les cybercriminels ont peut-être changé de stratégie face à la résistance de la clinique, invitée à régler 40 bitcoins. Mais l’implication d’une tierce partie n’est pas exclure. En particulier du fait d’un curieux fichier de 10 Go publié à la veille de l’envoi des e-mails. Accompagnant un échantillon de données relatives à 300 patients, il avait rapidement disparu de la circulation. A-t-il pu contenir l’intégralité de la base des patients et ainsi donner une arme potentiellement fatale à qui aurait pu le récupérer ?
Un événement similaire dans la forme mais de moindre ampleur était survenu en 2019 dans un centre américain de chirurgie faciale.
Illustration principale © Nmedia – Fotolia
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…