La nouvelle version du célèbre ransomware LockBit, la 3.0, semble avoir modifié sa stratégie avec un durcissement des règles envers ses victimes lors des négociations pour le déblocage de leurs données. Les interactions entre les entreprises touchées et les cybercriminels deviennent donc plus complexes.
Des concessions moins fréquentes et moins importantes
Alors qu’un accord pouvait parfois être trouvé entre les pirates informatiques et les sociétés ciblées permettant une réduction significative des montants exigés, il semblerait que cette période soit révolue pour les victimes de LockBit 3.0. En effet, les auteurs du ransomware ont publié eux-mêmes cette information, affirmant désormais qu’ils refusent tout rabais considérable sur leur demande initiale en fonction de la taille de l’entreprise visée. Le but est désormais de mettre en place un seuil minimal en dessous duquel les créateurs ne seront pas prêts à descendre : 3% du revenu annuel des entreprises touchées avec une possibilité de remise allant jusqu’à 1,5%.
Les assurances cyber impliquées dans ces nouvelles décisions
La situation est encore plus complexe pour les entreprises ayant souscrit une assurance cyber spécifique pour ce genre de situations. Dans leur cas, Bassterlord, le leader de l’équipe LockBit 3.0, a indiqué qu’il serait dorénavant interdit d’appliquer un rabais inférieur à 50% du montant maximal couvert par la police d’assurance pour compenser le paiement de la rançon. La raison invoquée est la présence de « débutants » dans les rangs des pirates informatiques qui n’hésitent pas, parfois, à accorder des rabais allant jusqu’à 90% sur le montant initial demandé. Ces pratiques auraient nuit aux membres loyaux et expérimentés de l’équipe, qui ne reçoivent plus autant en retour.
Un changement brutal qui fait monter la tension lors des négociations
Ainsi, la politique appliquée par Bassterlord et son équipe sera désormais de ne jamais descendre en dessous de 3% du revenu annuel des victimes, peu importe l’insistance des négociateurs. Cette nouvelle approche s’est déjà matérialisée dans une affaire récente : alors qu’une société spécialisée en négociation offrait 100 000 dollars US pour débloquer les données d’un client, les auteurs du ransomware ont refusé et décidé de supprimer la moitié des fichiers concernés. Au final, la société a dû payer une somme beaucoup plus conséquente, soit 800 000 dollars US, pour récupérer le reste de ses données.
Ce durcissement pourrait-il provoquer un effet inverse ?
La volonté affirmée de LockBit 3.0 de se montrer intraitable dans les négociations peut sembler préoccupante pour les entreprises visées, car elles devront sans doute prendre en compte cette nouvelle donnée pour décider de leur stratégie. Cependant, il est possible que cette position radicale des auteurs du ransomware puisse avoir un effet inverse à celui escompté : si les entreprises visées savent dès le départ qu’elles ne pourront plus bénéficier de rabais importants, elles seront peut-être plus enclines à mettre en place des solutions pour prévenir et contrer les attaques, plutôt que de compter sur l’espoir d’une négociation favorable. En somme, LockBit 3.0 pourrait ainsi contribuer involontairement à une amélioration des dispositifs de sécurité informatique des entreprises.
