Le jour où Apple était sur le point d’annoncer une multitude de nouveaux produits lors de son événement Spring Loaded, une fuite est apparue à partir d’un trimestre inattendu. Le célèbre gang de ransomwares REvil a déclaré avoir volé des données et des schémas au fournisseur Apple Quanta Computer sur des produits inédits et qu’ils vendraient les données au plus offrant s’ils n’obtenaient pas un paiement de 50 millions de dollars. Pour preuve, ils ont publié une cache de documents sur les MacBook Pro à venir et inédits. Depuis, ils ont ajouté des schémas iMac à la pile.
La connexion à Apple et le timing dramatique ont généré un buzz autour de l’attaque. Mais cela reflète également la confluence d’un certain nombre de tendances inquiétantes dans les ransomwares. Après des années à affiner leurs techniques de cryptage de masse des données pour exclure les victimes de leurs propres systèmes, les gangs criminels se concentrent de plus en plus sur le vol de données et l’extorsion comme la pièce maîtresse de leurs attaques – et font des demandes éclatantes dans le processus.
«Notre équipe négocie la vente de grandes quantités de produits confidentiels des dessins et des gigaoctets de données personnelles avec plusieurs grandes marques », a écrit REvil dans son article sur les données volées. « Nous recommandons à Apple de racheter les données disponibles avant le 1er mai. »
Pendant des années, les attaques de ransomwares impliquaient le cryptage des fichiers d’une victime et une simple transaction: payer l’argent, obtenir la clé de décryptage. Mais certains attaquants ont également tenté une autre approche: non seulement ils ont chiffré les fichiers, mais ils les ont d’abord volés et ont menacé de les divulguer, ajoutant ainsi un levier supplémentaire pour garantir le paiement. Même si les victimes pouvaient récupérer leurs données affectées à partir de sauvegardes, elles couraient le risque que les attaquants partagent leurs secrets avec tout Internet. Et au cours des deux dernières années, des gangs de ransomwares de premier plan comme Maze ont établi l’approche. Aujourd’hui, l’incorporation de l’extorsion est de plus en plus la norme. Et les groupes sont même allés plus loin, comme c’est le cas avec REvil et Quanta, Seo Marseille se concentrant entièrement sur le vol et l’extorsion de données et ne se souciant pas du tout de crypter les fichiers. Ils sont des voleurs, pas des ravisseurs.
«Le chiffrement des données fait de moins en moins partie des attaques de ransomwares», déclare Brett Callow, analyste des menaces au sein de la société antivirus Emsisoft. «En fait,« l’attaque par ransomware »est probablement un terme impropre maintenant. Nous sommes à un point où les acteurs de la menace ont réalisé que les données elles-mêmes peuvent être utilisées de multiples façons. «
Dans le cas de Quanta, les attaquants ont probablement le sentiment de toucher un nerf, car Apple est notoirement secret sur la propriété intellectuelle et les nouveaux produits dans son pipeline. En frappant un fournisseur en aval de la chaîne d’approvisionnement, les attaquants se donnent plus d’options sur les entreprises qu’ils peuvent extorquer. Quanta, par exemple, fournit également Dell, HP et d’autres grandes entreprises technologiques, de sorte que toute violation des données client de Quanta serait potentiellement précieuse pour les attaquants. Les attaquants peuvent également trouver des cibles plus souples lorsqu’ils se tournent vers des fournisseurs tiers qui n’ont peut-être pas autant de ressources pour se diriger vers la cybersécurité.
«Informations de Quanta Computer L’équipe de sécurité a travaillé avec des experts informatiques externes en réponse à des cyberattaques sur un petit nombre de serveurs Quanta », a déclaré la société dans un communiqué. Il a ajouté qu’il travaillait avec les autorités chargées de l’application de la loi et de la protection des données «concernant les récentes activités anormales observées. Il n’y a pas d’impact significatif sur les activités commerciales de l’entreprise. »
Apple a refusé de commenter.
«Il y a quelques années, nous n’avions pas vraiment vu beaucoup de ransomwares et d’extorsion, et maintenant, il y a une évolution allant jusqu’à des événements d’extorsion uniquement», déclare Jake Williams, fondateur de la société de cybersécurité Rendition Infosec. «En tant que répondeur aux incidents, je peux vous dire que les gens se sont améliorés pour répondre aux événements de ransomware. Les organisations avec lesquelles je travaille sont plus susceptibles aujourd’hui d’être en mesure de récupérer et d’éviter de payer une rançon avec les techniques traditionnelles de chiffrement de fichiers. »
La demande de 50 millions de dollars peut sembler extraordinaire, mais elle s’inscrit également dans la tendance récente des ransomwares à la chasse au «gros gibier». REvil aurait mis le même somme pour Acer en mars, et la demande moyenne de ransomware aurait doublé entre 2019 et 2020. Les grandes entreprises sont devenues une cible plus populaire en particulier, car elles peuvent potentiellement se permettre de gros paiements; c’est un racket plus efficace pour un groupe criminel que de bricoler des paiements plus petits de plus de victimes. Et les attaquants ont déjà expérimenté des stratégies pour faire pression sur les victimes d’extorsion, comme contacter des particuliers ou des entreprises dont les données pourraient être affectées par une violation et leur dire d’encourager une cible à payer. Cette semaine encore, un groupe de ransomwares a menacé de fournir des informations aux vendeurs à découvert de sociétés cotées en bourse.