Les cybercriminels agissent traditionnellement dans l’ombre du Darknet et préfèrent éviter les projecteurs pour garantir la réussite de leurs campagnes qui reposent sur la discrétion.
Néanmoins, en face au développement exponentiel des ransomwares de ces dernières années, le paysage des cybermenaces a subi une transformation radicale, au point que certains groupes qui exploitent ce type d’attaques en arrivent à mettre en place des stratégies de communication spécifiques à destination des médias et du public en général…
Cette révolution dans la manière de communiquer repose avant tout sur l’intérêt évident de ce type de groupe : pousser leurs victimes à verser une rançon.
Pour atteindre cet objectif, tous les moyens sont bons, y compris accroître la pression sur leurs cibles ou encore exploiter la propension de la presse à couvrir des exclusivités pour se faire connaître, recruter ou encore redorer un blason terni par les supposés « partis pris » de la presse traditionnelle.
Dès lors, comment se caractérise désormais le rapport des organisations criminelles avec les médias ?
S’agit-il d’une confrontation, d’une relation plus symbiotique ? Quelles sont les tactiques et stratégies de communication qu’emploient les gangs de ransomware pour gagner un avantage sur le terrain cyber ?
Par Bruno Durand, président des ventes pour la France et le Benelux chez Sophos
Tirer parti de la (sur)exposition médiatique pour accentuer la pression sur les victimes
Cela n’a rien de secret : les ransomwares font les choux gras de la presse, notamment en raison de la multiplication du nombre d’attaques et de l’ampleur de la professionnalisation des groupes qui se reposent sur ce type de cyberattaques.
En retour, les cybercriminels commencent à prendre conscience des opportunités que leur offre le battage médiatique dont ils font l’objet.
Ainsi certains groupes décident notamment de republier sur leurs blogs ou sites des liens vers des articles de presse afin de renforcer leur positionnement en tant que menace crédible aux yeux du public et de leurs victimes.
D’autres gangs vont même jusqu’à proposer des collaborations, à l’image de RansomHouse, qui communique avec des journalistes via des services de messagerie chiffrée.
Ces techniques de communication rappellent les bonnes pratiques en matière de relations presse ou de relations publiques utilisées par des entreprises légitimes.
Bien évidemment, l’objectif principal – outre un éventuel besoin d’accentuer leur notoriété ou de booster leur ego – consiste à mettre la pression sur leurs victimes, soit en les menaçant directement de faire fuiter des données dérobées dans la presse, soit en leur montrant qu’ils représentent une menace crédible.
Ainsi, la communication avec les médias devient un outil à part entière pour les criminels.
Renforcer sa présence pour contrôler le récit
Un petit nombre de groupuscules vont même jusqu’à publier des « communiqués de presse ». Souvent, ceux-ci visent à corriger des informations « erronées » publiées dans la presse sur leurs activités, afin de clarifier leur position.
Parfois, ces communications visent à redorer le blason d’une organisation ou à mettre en avant de prétendues valeurs éthiques liées à la confidentialité des données ou au choix de « protéger » les données dérobées à certaines victimes, telles que les hôpitaux, afin de mettre en avant la « responsabilité » de l’organisation.
Ces articles ont notamment pour objectif de refondre leur image en donnant un aspect plus professionnel à leur organisation.
D’autres vont plus loin encore dans la professionnalisation, à l’image de Karakurt, qui tient une page dédiée à la publication de tels communiqués.
Dans ces articles, ils s’emploient à imiter le style et la forme de communiqués traditionnels afin de mettre en avant des attaques réussies, des fuites de données ou encore des activités internes à l’organisation, comme le recrutement de nouveaux membres.
Autre exemple, le groupe Conti, qui a été l’objet d’une vaste fuite de données dans la presse en février 2022. Il présentait quant à lui une organisation étonnamment similaire à celle d’une entreprise et disposait même d’une personne dédiée aux négociations et à la rédaction de « blogposts ».
Certains membres de gangs de ransomwares sont également prêts à s’adonner à l’exercice de l’interview avec des journalistes ou des chercheurs. Dans ces entretiens, ils s’appliquent notamment à décrire les aspects « glamours » et lucratifs de leurs activités criminelles.
Ici encore, toutes ces activités ressemblent à s’y méprendre aux stratégies de communication mises en place par des organisations légitimes en matière de « branding ».
Elles permettent aux cybercriminels de mieux contrôler leur image dans les médias et aux yeux du public en proposant leur récit propre – à des fins de recrutement, par exemple.
Si ces évolutions n’en sont qu’à leurs prémisses, il ne serait pas étonnant de voir certains groupes s’adjoindre à l’avenir les services d’équipes de professionnels des relations presse.
Entre méfiance et dommages réputationnels : une relation tumultueuse
Des gangs de ransomwares ont néanmoins découvert à leurs dépens que la relation avec les médias n’était pas forcément un atout, en particulier s’ils faisaient l’objet d’une attention trop forte qui les empêche d’opérer.
Ainsi, des groupes de ransomwares et d’autres acteurs malveillants se sont déjà plaints d’une couverture « injustement négative » de la presse, à l’image de WormGPT, qui a dû mettre fin à ses activités, ou du gang de ransomwares CI0p, qui a publié des communications « afin de rétablir la vérité » face à ce qu’il considérait comme une « propagande » de la BBC.
Il est important de noter que l’univers cybercriminels entretient tout de même une certaine méfiance vis-à-vis de la presse et des médias, du fait de nombreux journalistes supposément « infiltrés » sur les forums de discussion.
Cela a même amené certains acteurs à détourner l’image de journalistes (photos, profils, etc.) ou de chercheurs afin de mettre la pression sur ces cibles.
Même les organisations comme Lockbit, qui semblaient être les plus enclines à engager une conversation avec la presse, considéraient les journalistes comme des adversaires qui « inventent » et diffusent de fausses informations les concernant.
Les gangs de ransomwares ont désormais conscience que l’attention dont ils font l’objet et leur réputation auprès du public et de leurs potentielles victimes ne présentent pas que des inconvénients.
Une partie d’entre eux se sont ainsi mis à exploiter ces opportunités en mettant en œuvre des stratégies et techniques de communication similaires à celles des entreprises avec les médias.
Toutefois, leur relation aux médias demeure pour le moins ambiguë et la méfiance qui la sous-tend laisse entrevoir qu’ils rencontreront des difficultés à occuper le même espace ou à réellement exploiter les mêmes stratégies de communication que des entreprises légales et légitimes…