Le gang de ransomware BlackCat dénonce sa victime aux autorités pour lui mettre la pression !
Lors d'une cyberattaque récente, le gang de ransomware BlackCat a fait un usage d'un nouveau moyen de pression contre sa victime : la dénoncer auprès des autorités. Mais...pourquoi ? Voici ce qu'il faut savoir.
Les cybercriminels innovent constamment et ils ont toujours de nouvelles idées. Les attaques par ransomware sont un excellent exemple puisqu'elles ont évoluées au fil des années afin de s'adapter au comportement des victimes et aux systèmes de défense.
Le 7 novembre 2023, les pirates russes de BlackCat ont mené une cyberattaque contre la société américaine MeridianLink, un éditeur de logiciels à destination des services financier et bancaire coté en Bourse. Lors de cette attaque, les cybercriminels sont parvenus à s'introduire sur l'infrastructure de MeridianLink et à lancer leur ransomware BlackCat. Ceci a donné lieu à une demande de rançon. Une attaque classique, disons.
Quelques jours plus tard, les cybercriminels ont ajouté MeridianLink sur leur site qui référence toute leur victime. De son côté, MeridianLink ne s'est pas montré coopératif et n'est pas entré en contact avec les pirates. C'est là que les pirates ont eu une nouvelle idée...
Dénoncer sa victime pour lui mettre la pression...
Face au silence de MeridianLink, les pirates ont pris la décision de dénoncer la victime auprès de la SEC (Securities and Exchange Commission). Aux États-Unis, il s'agit de l'organisme de réglementation et de contrôle des marchés financiers. Ils ont ensuite mis en ligne une copie d'écran qui prouve que le signalement a été effectué.
L'objectif est de mettre une pression de dingue à la cible ! Pourquoi ? Et bien parce qu'aux États-Unis, les entreprises disposent de 4 jours pour informer les autorités d'une cyberattaque ayant affecté les données de ses clients (cette loi entrera en vigueur prochainement et ne s'applique pas à toutes les entreprises). Si ce n'est pas fait, l'entreprise s'expose à une amende de la part de la SEC. Dans un premier temps, MeridianLink a probablement cherché à noyer le poisson et à cacher cette cyberattaque, ce qui a poussé les cybercriminels à agir de la sorte.
Cette nouvelle technique visant à harceler la victime et à lui mettre la pression sera probablement réutilisée à l'avenir. Les futures victimes sont prévenues...