Ransomwares : quand la communication devient stratégie 

Ces nouvelles stratégies reposent principalement sur un objectif précis : inciter leurs victimes à payer une rançon. Pour y parvenir, ils déploient diverses méthodes, comme l’intensification de la pression sur leurs cibles ou l’exploitation de l’intérêt des médias pour les informations exclusives, non seulement pour attirer l’attention et améliorer leur image ternie par la presse traditionnelle, mais également pour recruter de nouveaux membres.

Ainsi, comment caractériser la relation entre les organisations criminelles et les médias ? Est-ce un confit ou une coopération ? Quelles sont les nouvelles méthodes de communication utilisées par les gangs de ransomware pour dominer le cyberespace ?

Accroître la pression sur les victimes en exploitant les médias

Avec la prolifération des attaques et l’accroissement de la professionnalisation des groupes qui les exécutent, les ransomwares sont, sans surprise, au centre de l’attention médiatique. En échange, les cybercriminels rebondissent sur ce battage médiatique en exploitant toutes les opportunités qui en découlent.

Ainsi, pour consolider leur réputation en tant que menace crédible pour leur public et leurs victimes, certains groupes choisissent de republier sur leurs blogs ou sites des liens vers des articles de presse. À l’instar de RansomHouse, d’autres gangs vont même plus loin en proposant des collaborations via des services de messagerie chiffrée qui communiquent avec des journalistes.

Concrètement, les criminels font de la communication avec les médias un outil à part entière. Les méthodes de communication utilisées évoquent les pratiques de relations presse ou de relations publiques. L’objectif principal, bien entendu, dépasse largement la simple recherche de notoriété ou la satisfaction de leur ego ; il s’agit plutôt d’exercer une pression sur leurs victimes. Cette pression peut prendre la forme de menaces directes afin de révéler des données volées dans la presse ou de démonstrations d’une menace crédible.

Façonner le récit pour mieux entretenir son image

Lorsque certains groupes estiment nécessaire de corriger les informations jugées fausses dans les médias concernant leurs activités, ils n’hésitent pas à diffuser des contenus ressemblant fortement à des communiqués de presse. Ces derniers visent non seulement à embellir la réputation de l’organisation, mais également à promouvoir des valeurs éthiques présumées telles que le respect de la confidentialité des données, tout en érigeant leur responsabilité en tant que gardiens de la « protection » des données volées à des entités. L’objectif premier de ces communiqués est de métamorphoser l’image de l’organisation en lui insufflant une stature plus professionnelle et crédible.

Le gang Karakurt, par exemple, va encore plus loin dans cette professionnalisation en tenant une page dédiée à la publication de ce type de contenus. En imitant le style et la forme de communiqués, ils cherchent à mettre en lumière la réussite d’attaques ou bien des évènements internes tels que le recrutement de nouveaux membres. Un autre cas intéressant est celui du groupe Conti, qui a été au centre d’une fuite de données majeure dans la presse en février 2022. À cette occasion, le gang se distinguait par une structure étrangement similaire à une entreprise en allant jusqu’à avoir une personne dédiée aux négociations et à la rédaction de « blogposts ».

Dans les cercles des gangs de ransomwares, certains membres ne rechignent pas à s’entretenir avec des médias ou des chercheurs. Lors de ces échanges, leur objectif premier est de mettre en avant les aspects attrayants et rentables de leurs activités illicites.

En contrôlant le récit dans les médias, les cybercriminels cherchent à façonner une image positive auprès du public, peut-être dans l'optique de recruter de nouveaux membres. Cette tactique n’est que le reflet de celle des entreprises légales pour renforcer leur image de marque. Par conséquent, il ne serait pas surprenant de voir, à l'avenir, certains groupes engager des professionnels des relations publiques pour les représenter.

Les cybercriminels et la presse : une relation encore ambiguë

Certains gangs de ransomwares ont expérimenté les conséquences néfastes d’une visibilité excessive dans les médias, en particulier lorsque celle-ci entravait leurs opérations. C’est pourquoi des acteurs malveillants, comme WormGPT ou le gang de ransomwares CI0p, ont exprimé leur mécontentement face à une couverture médiatique qu'ils estiment injustement négative. CI0p, par exemple, a pris des mesures pour rétablir ce qu'il considérait comme la vérité, accusant la BBC de propager une « propagande » contre eux.

Cependant, la méfiance règne toujours pour les médias et à la presse règne toujours, en raison de la présence présumée de nombreux journalistes « infiltrés » sur les forums en ligne. Cette suspicion a conduit certains cybercriminels à faire pression en usurpant l’identité de journalistes ou de chercheurs, détournant par exemple leurs photos ou leurs profils. Des groupes tels que Lockbit, qui semblaient initialement ouverts à dialoguer avec la presse, considéraient les journalistes comme des antagonistes susceptibles de fabriquer et répandre des informations erronées à leur sujet.

En définitive, l’attention portée sur les gangs de ransomware ainsi que leur réputation auprès du grand public et de leurs futures victimes peuvent s’avérer bénéfiques. Certains ont pleinement saisi cette réalité et ont déjà commencé à l’exploiter en adoptant des techniques de communication, vis-à-vis des médias, semblables à celles des entreprises. Néanmoins, leur interaction avec les médias reste tumultueuse, marquée par une méfiance et limitant ainsi leur insertion dans le même espace médiatique, mais aussi l’utilisation des mêmes stratégies de communication.