Négociations Sur Les Ransomwares Révélées: La Flatterie Et L’empathie Fonctionnent

Les détails d’une négociation d’une semaine entre l’Université de Californie et un gang de ransomwares NetWalker ont été révélés par Bloomberg.

L’école de médecine de l’Université travaillait sur un vaccin contre Covid-19 en juin de cette année lorsque sept de ses serveurs ont été verrouillés par les pirates. Contre l’avis du FBI, l’université a pris les choses en main et a mené des négociations privées.

Le négociateur universitaire a utilisé la flatterie, fait appel au sens de la sympathie et de l’éthique des pirates et a réussi à réduire le montant de la rançon de 6 millions de dollars à un peu plus de 1 million de dollars en Bitcoin (BTC) et a réussi à restaurer les systèmes.

Dès le départ, le négociateur s’est assuré qu’ils avaient «l’opérateur» du pirate de leur côté, appelant au respect des deux côtés: «Je suis prêt à travailler avec vous, mais il doit y avoir un respect mutuel. N’êtes-vous pas d’accord? ». Avant d’attendre une réponse, ils ont également fait appel à la fierté de l’attaquant:

«J’ai lu sur vous sur Internet et je sais que vous êtes un célèbre groupe de hackers de ransomware et très professionnel. Je sais que vous honorerez votre parole lorsque nous nous mettrons d’accord sur un prix, n’est-ce pas?

Cela a semblé fonctionner avec la réponse de l’opérateur: «Nous sommes à 100% respectueux et nous ne manquerons jamais de respect à un client qui nous parle avec respect.»

Les négociations se sont déplacées pour déterminer à quel point chaque partie était dévouée, le négociateur pleurant pauvre et déclarant que tous les fonds avaient été investis dans la recherche sans qu’il n’en reste à épargner.

Appelant le bluff apparent, l’opérateur a répondu qu’une école qui collecte plus de 7 milliards de dollars de revenus annuels ne devrait avoir aucun mal à en payer quelques millions:

«Vous devez comprendre, pour vous, en tant que grande université […], vous pouvez collecter cet argent en quelques heures. Vous devez nous prendre au sérieux. »

La première offre de l’université était de 780 000 $ et a également été bafouée par l’exploitant. «Gardez ces 780 000 $ pour acheter McDonalds pour tous les employés. C’est un très petit montant pour nous », ajoutant:« Je suis désolé. »

Plus de temps – pour les deux côtés

Comme d’habitude dans les situations de rançon, le négociateur a ensuite demandé deux jours de plus afin de permettre au «comité universitaire qui prend toutes les décisions» de se réunir à nouveau. L’opérateur a accepté à la condition que la rançon de 3 millions de dollars soit doublée à 6 millions de dollars.

Un négociateur de ransomware de Tel Aviv, Moty Cristal, a déclaré à Bloomberg que l’extension aurait également pu s’avérer utile pour les attaquants, leur laissant le temps d’identifier la valeur de leurs données volées.

Le groupe Netwalker est une entreprise criminelle à grande échelle et loue ses logiciels dans le cadre d’un programme de type franchise. Le groupe a publié une annonce de recrutement en mars de cette année, ajoutant de nouveaux affiliés à son réseau.

Être personnel

À ce stade, soit par désespoir, soit comme stratégie psychologique, le négociateur a commencé à faire appel aux sympathies de l’opérateur. «Je n’ai pas dormi depuis quelques jours parce que j’essaie de comprendre cela pour vous», ont-ils dit, «je suis considéré comme un échec par tout le monde ici et c’est de ma faute si cela se produit.»

«Plus ça dure, plus je me déteste […] Tout ce que je demande, c’est que tu sois le seul de ma vie à me traiter gentiment. Vous êtes actuellement le seul au monde à savoir exactement ce que je traverse.

L’opérateur semble avoir répondu: «Mon ami, votre équipe doit comprendre que ce n’est pas votre échec. Chaque appareil sur Internet est vulnérable. »

Quatre jours après le début de l’attaque, le négociateur est finalement revenu avec une offre de plus d’un million de dollars, affirmant qu’il contournait ses règles internes pour accepter un don supplémentaire de 120 000 dollars au motif que les négociations se terminaient. Ils ont même ajouté une pression de temps:

«Nous ne pouvons normalement pas accepter ces dons, mais nous ne sommes prêts à le faire fonctionner que si vous acceptez d’y mettre fin rapidement.»

L’université a passé 36 heures à organiser l’achat de 116 Bitcoin (1,14 million de dollars) et à envoyer les fonds aux attaquants. Deux jours de plus ont été nécessaires pour que les pirates informatiques confirment la suppression de toutes les données sensibles et redonnent l’accès à l’université.

Après plus de huit jours sans accès, l’université a réussi à obtenir un accès complet à tous ses serveurs. Cependant, les serveurs sont restés hors ligne pendant qu’ils enquêtaient sur l’incident avec le FBI et d’autres consultants en cybersécurité. Dans la dernière  mise  à jour du 26 juin, l’université a déclaré que l’enquête était toujours en cours.

Laisser un commentaire