Selon une étude académique sur des négociations de ransomware, la hausse des paiements ne s’explique pas par des attaques plus innovantes mais par la dynamique des négociations et la sélection des victimes.

L’étude met en évidence une hausse spectaculaire des paiements moyens (près de +20 000% depuis 2018) et propose un modèle de négociation en six étapes: intention de l’attaquant, engagement de la victime, offre de remise, magnitude de la remise, décision de paiement, et ré-extorsion. Les auteurs exploitent deux jeux de données: 481 incidents déclarés à la police (2019–2023) et 237 transcriptions de négociations issues de 23 groupes de ransomware.

Résultat central: un « paradoxe de tarification » où les victimes paient plus souvent après des demandes initiales très élevées suivies de fortes remises, qu’après des prix fixes bas. Des régressions par étape résolvent ce paradoxe: la progression dans les étapes dépend de la présence de sauvegardes récupérables, du revenu de la victime, de l’implication d’équipes d’Incident Response (IR) et de la durée de la négociation.

Principaux constats:

  • Des sauvegardes entièrement récupérables réduisent fortement les taux de paiement et la probabilité d’offres de remise.
  • Un revenu plus élevé augmente la probabilité d’engagement et d’obtention d’une remise.
  • Des négociations plus longues diminuent la probabilité de paiement.
  • Aucune preuve que l’assurance cyber augmente les paiements; la taille de la remise ne compte plus une fois l’interaction modélisée; la ré-extorsion n’apparaît pas comme courante.

IOCs et TTPs:

  • IOCs: non mentionnés.
  • TTPs observés côté attaquants: demandes initiales élevées, offres de remise substantielles, ré-extorsion rare; cadre en six étapes de la négociation.

Type d’article: publication de recherche visant à modéliser la négociation et expliquer les déterminants économiques des paiements de ransomware. 🔐💰

🔗 Source originale : https://papers.tinbergen.nl/25052.pdf

🖴 Archive : https://web.archive.org/web/20251008161133/https://papers.tinbergen.nl/25052.pdf