Un gang de ransomwares offre aux négociants en bourse un scoop sur les victimes d'attaques

Les écrans NASDAQ de Times Square fournissent des informations boursières aux traders. (bfishadow sur Flickr, CC BY 2.0via Wikimedia Commons)

Les groupes de ransomwares Brazen continuent de rechercher de nouvelles voies pour engranger des profits et augmenter la pression sur les victimes. Dans l’un des derniers développements de ce type, le groupe de rançongiciels DarkSide incite ouvertement les négociants en bourse à tendre la main et à recevoir un scoop sur les dernières victimes du gang, afin qu’ils puissent vendre leurs actions à découvert avant que des données ne soient divulguées et que la nouvelle ne soit rendue publique.

Une entrée sur le site DarkSide Leaks datée du 20 avril indique : « Désormais, notre équipe et nos partenaires chiffrent de nombreuses entreprises qui se négocient sur le NASDAQ et d’autres bourses. Si la société refuse de payer, nous sommes prêts à fournir des informations avant la publication, afin qu’il soit possible de gagner du prix de réduction des actions. Écrivez-nous dans « Contactez-nous » et nous vous fournirons des informations détaillées.  »

Les acteurs des menaces pourraient potentiellement bénéficier de deux manières. Si des commerçants sans scrupules acceptaient DarkSide sur son offre, le gang de ransomwares pourrait potentiellement leur facturer une belle somme pour cette information privilégiée. Et si suffisamment de traders s’engageaient dans la vente à découvert, le cours de l’action de la société pourrait chuter artificiellement par la manipulation – une conséquence que les victimes que les organisations extorquées pourraient essayer d’éviter en payant simplement la rançon.

Brett Callow, analyste des menaces chez Emsisoft, a déclaré à SC Media qu’il soupçonnait que le deuxième scénario était plus probablement ce que les attaquants avaient à l’esprit lorsqu’ils ont publié l’offre en ligne. Quoi qu’il en soit, il n’est au courant d’aucun autre groupe de ransomware utilisant cette tactique apparemment nouvelle.

« Ces derniers mois, les groupes de ransomwares ont cherché de nouveaux moyens de faire pression sur leurs cibles pour qu’ils payent, de la publicité des attaques via les publicités Facebook à la communication avec les clients et leur demandant de contacter la société piratée pour insister pour qu’elle prenne des mesures pour protéger leurs données – en d’autres termes, qu’ils paient la rançon « , a déclaré Callow. « Compte tenu de cela, il n’est pas du tout surprenant de voir un groupe expérimenter cette stratégie. Je soupçonne que leur intention n’est pas d’obtenir de l’argent auprès de commerçants sans scrupules, mais plutôt d’effrayer les futures victimes pour qu’elles s’installent rapidement afin d’éviter la possibilité que leur stock soit court-circuité. Je doute que la stratégie réussisse ou soit imitée par d’autres groupes, mais le temps nous le dira.  »

Mais quel impact une telle activité de délit d’initié pourrait-elle réellement avoir sur la viabilité des actions d’une entreprise aux yeux de la communauté des investisseurs ?

« Du point de vue du crédit, les mouvements boursiers sont généralement temporaires et tout préavis que les traders pourraient recevoir de la part des pirates informatiques est finalement éliminé lorsque le reste du marché le découvre », a déclaré Leroy Terrelonge, vice-président adjoint et analyste des risques cybernétiques chez Moody’s Investors. Service, et le vice-président principal et analyste technique de Moody’s, Gerry Granovksy, dans une déclaration commune.

En outre, les investisseurs ont de bonnes raisons de ne pas faire confiance aux cybercriminels en premier lieu.

« Moody’s Cyber ​​Risk Group s’est entretenu avec plusieurs organisations qui ont été victimes de gangs de ransomwares au cours des dernières années, et il y a souvent un grand écart entre les affirmations des gangs de ransomwares et la réalité. Les clients de ces cybercriminels seront probablement déçus de ne pas obtenir le retour sur investissement qu’ils imaginent « , ont noté les dirigeants de Moody’s.

Au contraire, l’impact le plus grave sur les finances et la cote de crédit proviendrait de la violation elle-même et dépendrait de sa taille et de sa portée, a noté Moody’s. « Nous avons assisté à des fluctuations sauvages des marchés boursiers en raison de campagnes de désinformation, mais celles-ci sont généralement de courte durée et les prix des titres reviennent à leurs niveaux d’avant la désinformation dès que les informations correctes filtrent sur le marché », ont déclaré Terrelonge et Granovksy. « Si les facteurs fondamentaux du crédit sont affaiblis par le cyberincident, cela pourrait entraîner une baisse de la cote de crédit. »

Le groupe DarkSide était connu auparavant pour se livrer à un comportement décalé. En octobre 2020, il a été signalé que le gang de cybercriminels avait fait don d’un pourcentage des fonds extorqués aux entreprises victimes à des organisations caritatives.