Pendant un an et demi, le gang Maze a rançonné des dizaines de millions d’euros, et révolutionné les pratiques des cybercriminels. La fin de ses activités semble être une bonne nouvelle, si elle n’avait pas un successeur en Egregor, un nouveau rançongiciel au fonctionnement similaire…

En cette fin d’octobre 2020, les opérateurs du rançongiciel Maze ferment peu à peu leurs activités, a conclu le Bleeping Computer, média américain référent sur le sujet. Le gang opérait depuis à peine plus d’un an, mais il a largement influencé l’aggravation des pratiques des cybercriminels. Il a affiché à son tableau de chasse plus d’une dizaine de très grosses entreprises, dont le géant français Bouygues Telecom Construction. Et encore, cette dizaine de victimes ne sont que celles connues publiquement, il pourrait en avoir faire bien plus.

Lorsque Maze s’infiltrait sur un réseau, il exfiltrait les données qu’il trouvait, supprimait les copies quand il le pouvait, puis chiffrait l’ensemble, de sorte que l’activité de l’organisation se trouvait considérablement ralentie, voire stoppée net.

2846260982.08.MZZZZZZZ.jpg

En un an et demi, Maze a amassé des dizaines de millions d’euros. // Source : Avij – Wikipedia

Ensuite, le groupe de malfaiteurs exigeait de ses victimes des rançons dépassant le million, voire la dizaine de millions d’euros, en échange du déchiffrement des données et de leur non-publication. Dans son rapport annuel, l’Anssi — l’agence publique française chargée d’intervenir sur les cyberattaques d’ampleur —  décrivait Maze comme « le rançongiciel ayant le plus fort impact potentiel sur les entreprises et institutions. »

L’arrêt de son activité semble donc être une excellente nouvelle. Sauf qu’un autre gang, nommé Egregor, est apparu en septembre, et a déjà fait ses premières victimes. Non seulement le code du rançongiciel s’approche fortement de celui de Maze, mais il a aussi récupéré une bonne partie de ses partenaires. On se retrouve face à une hydre : une tête tombe, mais une autre pousse.

Maze à l’origine de l’inquiétante évolution des rançongiciels

Maze a révolutionné les pratiques des cybercriminels (pour le pire) avec la création d’un site accessible publiquement, sur lequel il diffusait progressivement les données des victimes qui avaient décidé de ne pas payer, ainsi que des communiqués de presse. Depuis, la majorité des gangs disposent d’un blog équivalent et communiquent plus ou moins régulièrement avec les médias spécialisés pour attirer l’attention sur leurs coups réussis.

La publication des données est un puissant moyen de pression supplémentaire pour pousser les victimes à payer. Auparavant, le choix des victimes n’était pas autant contraint : elles pouvaient décider de rétablir leur système à partir des dernières sauvegardes, au lieu de payer la rançon et d’attendre en retour la clé de déchiffrement.

Ce processus de reconstruction du réseau informatique est certes potentiellement long et coûteux, mais il permet d’éviter d’avoir à faire confiance aux cybercriminels. À cause des blogs de divulgation apparus à la fin de l’année 2019, prendre cette voie implique un risque aggravé que les données de l’entreprise atterrissent dans les mains d’autres cybercriminels.

Du côté des malfaiteurs, ce système leur permet d’être dans une situation presque gagnant-gagnant : soit ils réalisent leur profit sur la rançon, soient ils essaieront d’en faire — probablement moins — sur la vente des données.

Egregor a déjà repris les activités de Maze

Maze faisait partie, à l’instar du dernier apparu Egregor, d’une catégorie de gangs qui concentrent tout un écosystème autour d’eux. Concrètement, l’implication des opérateurs de Maze dans les cyberattaques revendiquées en son nom n’était que partielle. Ils se chargeaient de fournir certains outils de piratage et celui de chiffrement des données, mais c’était des « partenaires affiliés »  qui se chargeaient de lancer les cyberattaques.

Cette répartition profitait aux deux parties : Maze ne mettait pas les mains dans le cambouis et réduisait considérablement ses prises de risques, tandis que ses affiliés profitaient de logiciels malveillants parmi les plus performants du marché, et d’une crédibilité bien utile. Rançonner une multinationale sous le nom « HackerLordx75xx » n’a pas le même effet que de le faire sous le nom Maze. L’utilisation de la  « marque » des cybercriminels pousse les organisations victimes à prendre l’attaque et la demande de rançon au sérieux, au vu de son passif. Après un piratage réussi, Maze et son partenaire se répartissaient le butin.

Le Bleeping Computer a constaté que de nombreux affiliés ont déjà basculé leur activité sous le nom d’Egregor, dont le rançongiciel semble être une déclinaison de celui de Maze. La fin définitive des activités du gang, qui a déjà commencé à nettoyer son site, semble imminente. Mais malheureusement, elle ne ralentira vraisemblablement pas la croissance impressionnante de la force de frappe des rançongiciels…

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !