© Reuters. FILE PHOTO: Un homme tape sur un clavier d’ordinateur devant le cybercode affiché sur cette photo d’illustration prise le 1er mars 2017.REUTERS/Kacper Pempel/Illustration/File Photo
Par Raphaël Satter
WASHINGTON (Reuters) – Les pirates qui ont revendiqué la responsabilité d’une violation perturbatrice de la société de données financières ION ont déclaré qu’une rançon avait été payée, bien qu’ils aient refusé de dire combien elle était ou d’apporter la moindre preuve que l’argent avait été remis.
ION Group a refusé de commenter la déclaration. Vendredi, Lockbit a communiqué la réclamation à Reuters via son compte de chat en ligne, mais a refusé de préciser qui avait payé l’argent – affirmant qu’il provenait d’un « très riche philanthrope inconnu ».
Le représentant de Lockbit a déclaré qu’il n’y avait « aucun moyen » qu’il offre plus de détails.
Le FBI n’a pas immédiatement répondu à une demande de commentaire. La National Cyber Security Agency britannique, qui fait partie de l’agence de renseignement d’écoute britannique GCHQ, a déclaré à Reuters qu’elle n’avait aucun commentaire.
L’épidémie de rançongiciel qui a éclaté à ION mardi a perturbé le commerce et la compensation des dérivés financiers négociés en bourse, causant des problèmes à des dizaines de courtiers, ont déclaré à Reuters des sources proches du dossier cette semaine.
Parmi les nombreux clients d’ION dont les opérations étaient susceptibles d’avoir été affectées figuraient ABN Amro Clearing et Intesa Sanpaolo (OTC :), la plus grande banque italienne, selon des messages aux clients des deux banques qui ont été vus par Reuters.
ABN a déclaré mercredi à ses clients qu’en raison d’une « perturbation technique » d’ION, certaines applications n’étaient pas disponibles et devaient le rester pendant « un certain nombre de jours ».
Il n’était pas clair si le paiement de la rançon accélérerait nécessairement l’effort de nettoyage. Ransomware fonctionne en cryptant les données vitales de l’entreprise et en extorquant aux victimes des gains en échange des clés de décryptage. Mais même si les pirates remettent les clés, cela peut encore prendre des jours, des semaines ou plus pour réparer les dommages causés à l’infrastructure numérique d’une entreprise.
Il y avait déjà des signes que Lockbit avait conclu une sorte d’accord sur les données d’ION. Le nom de la société a été supprimé plus tôt vendredi du site Web d’extorsion de Lockbit, où les entreprises victimes sont nommées et humiliées dans le but de forcer un paiement. Les experts disent que c’est souvent le signe qu’une rançon a été livrée.
« Lorsqu’une victime est radiée de la liste, cela signifie le plus souvent soit qu’elle a accepté d’entamer des négociations, soit qu’elle a payé », a déclaré l’expert en rançongiciels Brett Callow de la société de cybersécurité basée en Nouvelle-Zélande Emsisoft.
Callow a déclaré qu’il y avait une chance extérieure qu’il y ait une autre explication pour que Lockbit recule publiquement.
« Cela peut signifier que le gang de rançongiciels a eu froid aux yeux ou a décidé de ne pas procéder à l’extorsion pour d’autres raisons », a-t-il déclaré.
Les ransomwares sont devenus l’un des fléaux les plus coûteux et les plus perturbateurs d’Internet. Vendredi soir, le site Web d’extorsion de Lockbit comptait à lui seul 54 victimes secouées, dont une chaîne de télévision en Californie, une école à Brooklyn et une ville du Michigan.