Gangs de rançongiciels basés en Russie sont parmi les plus prolifiques et les plus agressifs, en partie grâce à un refuge apparemment sûr que le gouvernement russe leur accorde. Le Kremlin ne coopère pas aux enquêtes internationales sur les rançongiciels et refuse généralement de poursuivre les cybercriminels opérant dans le pays tant qu’ils n’attaquent pas des cibles nationales. Une question de longue date, cependant, est de savoir si ces pirates à motivation financière reçoivent jamais des directives du gouvernement russe et dans quelle mesure les gangs sont liés au piratage offensif du Kremlin. La réponse commence à se préciser.
Une nouvelle étude présentée à la conférence sur la sécurité Cyberwarcon à Arlington, en Virginie, examine aujourd’hui la fréquence et le ciblage des attaques de ransomware contre des organisations basées aux États-Unis, au Canada, au Royaume-Uni, en Allemagne, en Italie et en France dans la perspective de ces élections nationales des pays. Les résultats suggèrent un alignement vague mais visible entre les priorités et les activités du gouvernement russe et les attaques de ransomware menant aux élections dans les six pays.
Le projet a analysé un ensemble de données de plus de 4 000 attaques de rançongiciels perpétrées contre des victimes dans 102 pays entre mai 2019 et mai 2022. Dirigée par Karen Nershi, chercheuse à l’Observatoire Internet de Stanford et au Centre pour la sécurité et la coopération internationales, l’analyse a montré une augmentation significative des attaques de rançongiciels de la part de gangs basés en Russie contre des organisations dans les six pays victimes avant leurs élections nationales. Ces pays ont subi le plus grand nombre d’attaques de ransomwares par an dans l’ensemble de données, soit environ les trois quarts de toutes les attaques.
“Nous avons utilisé les données pour comparer le moment des attaques pour des groupes que nous pensons être basés en Russie et des groupes basés partout ailleurs”, a déclaré Nershi à WIRED avant son discours. “Notre modèle a examiné le nombre d’attaques à un jour donné, et ce que nous trouvons est cette relation intéressante où, pour ces groupes basés en Russie, nous constatons une augmentation du nombre d’attaques commençant quatre mois avant une élection et se déplaçant trois, deux , un mois plus tard, jusqu’à l’événement.
L’ensemble de données a été extrait des sites Web sombres que les gangs de rançongiciels maintiennent pour nommer et faire honte aux victimes et les inciter à payer. Nershi et son collègue chercheur Shelby Grossman, chercheur à l’Observatoire Internet de Stanford, se sont concentrés sur les attaques populaires dites de “double extorsion” dans lesquelles les pirates piratent un réseau cible et exfiltrent des données avant de planter des rançongiciels pour chiffrer les systèmes. Ensuite, les attaquants exigent une rançon non seulement pour la clé de déchiffrement, mais aussi pour garder secrètes les données volées au lieu de les vendre. Les chercheurs n’ont peut-être pas capturé les données de tous les acteurs de la double extorsion, et les attaquants peuvent ne pas publier sur toutes leurs cibles, mais Nershi affirme que la collecte de données a été approfondie et que les groupes ont généralement intérêt à faire connaître leurs attaques.
Les résultats ont montré de manière générale que les gangs de rançongiciels non russes n’ont pas connu d’augmentation statistiquement significative des attaques à l’approche des élections. Alors qu’à deux mois d’une élection nationale, par exemple, les chercheurs ont découvert que les organisations des six principaux pays victimes avaient 41 % de chances en plus d’être victimes d’une attaque par rançongiciel d’un gang basé en Russie un jour donné, par rapport à la situation de référence. .
