Ce ransomware prévoit de discuter le prix de la rançon avec ses victimes, en fonction de leur assurance

Publié le 21 février 2023 à 16h55

HardBit 2.0 est une souche de ransomware assez classique, à ceci près que les hackers ne demandent pas directement à leurs victimes de payer un prix fixe, mais plutôt de leur fournir des informations à propos de leur assurance pour savoir quelle somme est couverte par celle-ci.

Le but avoué des hackers est de savoir quelle somme demander pour obtenir leur argent à coup sûr. Pour ça, ils n'hésitent pas à dépeindre les assureurs auprès de leurs victimes comme des obstacles à de bonnes négociations et à la récupération de leurs données.

Un ransomware presque banal

D'après un rapport de l'entreprise Varonis, HardBit est un ransomware qui a été pour la première fois observé en octobre 2022. Depuis novembre 2022 cependant, le malware a été amélioré, passant à ce qui est désigné comme sa version 2.0, qui est celle actuellement en circulation. HardBit se comporte comme un ransomware classique : il chiffre les fichiers, et le groupe menace de publier les données de ses victimes si la rançon n'est pas payée. Certaines sécurités sont également désactivées sur l'appareil pour éviter la détection.

Malgré tout, il possède quelques particularités. Là où certains ransomwares se contentent d'ajouter les données chiffrées à un nouveau fichier et suppriment l'original, HardBit ouvre les fichiers et les modifie directement, ce qui rend leur récupération plus difficile. De plus, même si les hackers indiquent avoir récupéré des données qu'ils menacent de diffuser, HardBit ne semble pas avoir pour le moment de site dédié à la publication de ces informations. Sa plus grande particularité vient cependant de sa demande de rançon.

L'assurance, élément essentiel de la négociation

Lorsqu'un appareil est infecté par un ransomware, une demande de rançon s'affiche, sur laquelle est parfois indiqué un montant en Bitcoin à payer et des instructions sur comment réaliser le paiement. Il arrive aux hackers d'ajuster le montant demandé, selon s'ils visent des particuliers ou de grandes entreprises. Mais HardBit a choisi une autre approche. Au lieu de demander une somme précise, les hackers invitent les victimes à les contacter sur la messagerie chiffrée Tox dans les 48 heures pour discuter du paiement.

Ils essaient également de convaincre les entreprises qui possèdent une assurance qui les protège en cas d'attaque informatique de leur préciser la somme couverte par cette assurance. D'après eux, grâce à ces informations, ils seraient capables de demander la bonne somme pour forcer les assureurs à payer, et ainsi, les hackers obtiendraient leur argent tandis que les victimes pourraient retrouver leurs fichiers et éviter le risque d'une fuite de données.

Bien entendu, il ne faut jamais faire confiance aux acteurs malveillants. Rien ne dit qu'une fois la somme payée, les données récupérées seront bien supprimées et que la clé de déchiffrement fonctionnera correctement. En cas de ransomware, il ne faut surtout pas payer la rançon ni tenter de négocier avec les attaquants, mais plutôt prévenir les autorités compétentes et prévoir en amont des manières de sécuriser ses données, comme des sauvegardes régulières.

Sources : Neowin, BleepingComputer, Varonis

Par Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Articles de Fanny Dufour

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

jvachez

Pour le conseil des sauvegardes il est important que les sauvegardes soient sur des supports externes sortis des lecteurs après sauvegarde.
Une sauvegarde sur un NAS connecté au réseau est une mauvaise idée, car le NAS peut lui aussi être crypté.

juju251

Tu n’es jamais censé n’utiliser qu’une seule sauvegarde.

peper_1_1

#onditchiffrer
(désolé )

ayaredone

Il y a longtemps on avait la règle des 21 (je ne suis plus sûr) mais en gros 1 sauvegarde par jour qu’on écrase chaque semaine, 1 sauvegarde le dimanche qu’on garde 4 semaines et 1 sauvegarde par mois qu’on garde 1 an. Il fallait 21 supports.

Oui, je suis vieux

F4FEnder

C’est ce qui est pratiqué dans mon entreprise.

Comcom1

Tu utilises la sauvegarde du jour précédent tout simplement

Comcom1

Pourtant je suis d’accord avec toi, ça me parait tout à fait judicieux, finalement 21 sauvegardes ça ne représente pas tant que ça, on a pas tant de données réellement intéressantes à sauvegarder

Muggsy68

Virer les utilisateurs ayant fait rentrer le virus serait plus efficace.

Hey Bernard voici les photos de mes vacances, clic ici.

Mais je ne trouve pas les photos ? Ça ne marche pas ?

J’ai jamais envoyé de photo, je n’étais pas en vacances !

Comcom1

Oui il en faut plusieurs j’ai jamais dis le contraire et ce que j’indique est plutôt destiné à une entreprise. D’ailleurs il en faut des journalières, hebdomadaires, mensuelles et annuelles, il y a un autre commentaire qui détaille la technique des 21 sauvegardes et pour le coup c’est ce que je conseillerais pour une entreprise.
Pour un particulier 2 pauvres clés usb (a changer de temps en temps) ou disque externe ça fait l’affaire tant que c’est bien hors ligne tout le temps sauf pendant la sauvegarde. Franchement en particulier on a quoi à garder qq photos et vidéos qq pdf scannés ça fait pas grand chose à sauvegarder.

J’insiste bien, que ce soit en pro ou en particulier on ne sauvegarde pas toutes les données, uniquement ce qui a de l’intérêt, genre une entreprise de dev, elle va sauvegarder le code source, l’installation de visualstudio on s’en tape. Pareil pour un particulier les photos de vacances oui ça a un intérêt, l’installation du dernier call of duty on s’en fou, au final ça ne fait pas des sauvegardes de folie en terme de sauvegarde importante et réellement utile

userresu

Backup offline / déconnecté physiquement du réseau (c’est à dire que la sauvegarde externalisée vers un cloud par exemple doit se faire manuellement ; avec identifiants de connexion à rentrer à chaque fois ; car si automatique, le backup chiffré par le ramsomware sera exporté, ce qui n’a pas bcp d’intérêt) ; en dehors de l’investissement en temps et en argent, on peut avoir un backup offline sur site et un export dans le cloud (recommandé pour prévenir les pertes en cas d’incendie par exemple)

Il y aussi la règle du 3-2-1 en Sauvegarde :
Vous devez avoir au moins trois copies de vos données; deux des sauvegardes doivent être stockées sur des types de supports différents, et au moins une sauvegarde doit être stockée hors site ou sur le cloud.