July 29, 2021

Ransomware : Piratage sur les IP

Là où il y a du commerce, que ce soit des pirates ! Les techniques, tactiques et procédures des pirates modernes se sont considérablement développées depuis que les boucaniers de Lukkan ont attaqué Chypre pour la première fois dans le 14ème siècle. La pratique de la piraterie maritime est toujours bien vivante, mais à mesure que la technologie est passée du bronze au blockchain le butin de prédilection des corsaires du 21e siècle est passé de l’or à Bitcoin. Les données sont devenues la référence mondiale bien le plus précieux, et les câbles de communication sous-marins qui forment l’épine dorsale d’Internet sont les voies de navigation de milliers de milliards de dollars de commerce mondial. Avec autant d’enjeux, il n’est pas surprenant que les cybercriminels continuent d’élever le Jolly Roger sous la forme numérique de ransomware.

La rançon est un incontournable du livre de jeu du pirate depuis Teuta, la reine pirate d’Illyrie, capturé la capitale de l’Épire de Phénice en 231 avant notre ère. La reine Teuta a réussi à retenir la ville en otage assez longtemps pour forcer les Epirotes à lui payer une rançon pour libérer leurs citoyens et évacuer ses frontières. L’étendue des moyens de la reine Teuta, la sophistication de son organisation et l’insatiabilité de sa cupidité en faisaient une « menace persistante avancée » (APT) pour les victimes dans toute la Méditerranée. Comme les cybercriminels sont devenus plus sophistiqués et organisés, ils sont également devenus des APT, dont la portée étend toute la largeur et la profondeur de nos autoroutes de l’information.

Le ransomware est un type spécifique de malware qui infecte les systèmes d’information dans le but de les rendre inaccessibles jusqu’à ce qu’une rançon soit payée en échange de la restauration de l’accès de la victime. Une telle perturbation peut être paralysante pour une organisation, ne laissant souvent aux dirigeants d’autre choix que de se soumettre aux demandes du rançonneur afin de reprendre les opérations normales le plus rapidement possible. Les professionnels de la sécurité de l’information et les agences gouvernementales conviennent que le paiement de ces rançons incite à de futures attaques et ne devrait être effectué qu’en dernier recours. Cependant, sans alternatives adéquates, le coût moyen des temps d’arrêt reste 23 fois plus élevé que le montant moyen de la rançon, ce qui fait que le paiement d’une rançon est considéré comme la solution la plus rapide et la plus rentable pour la victime.

Le département américain du Trésor a annoncé en octobre 2020 que les entreprises facilitant les paiements au nom des victimes de ransomwares pourraient enfreindre la loi fédérale si les cybercriminels figurent sur une liste de personnes sanctionnées. entités identifiées par l’OFAC (Bureau de contrôle des avoirs étrangers). Plusieurs États ont emboîté le pas et ont commencé à rédiger une législation qui criminaliserait le paiement ce genre de rançon. Il existe un débat important au sein de la communauté de la sécurité quant à savoir si cette interdiction pure et simple de payer des rançons causerait plus de mal que de bien. L’interdiction des paiements de rançon entraînerait presque certainement la création d’un autre marché noir pour faciliter ces transactions et décourager les victimes de signaler les incidents de ransomware aux autorités. Une position similaire a été prise par l’USG en réponse à l’otage paiements de rançon par les familles. En fin de compte, cependant, il a été déterminé que punir la victime était un moyen de dissuasion inefficace et contraire à l’éthique, et nous n’avons pas vu d’ondulations de cette exclusion sur le marché international des prises d’otages. L’implication récente du département du Trésor dans la réponse à la cyber-extorsion, en particulier leur succès dans le retour de 2,3 millions de dollars sur la rançon de 4,4 millions de dollars payée pour le pipeline colonial événement d’extorsion, est une démonstration significative de l’avantage d’inclure le gouvernement américain dans les efforts de réponse à l’extorsion.

L’ampleur et la sophistication des attaques de ransomware n’ont cessé d’augmenter depuis que Joseph Popp, largement reconnu comme le père de la rançon numérique, a tenté pour la première fois d’extorquer les victimes du cheval de Troie PC Cyborg qu’il a créé il y a près de 30 ans. Une fois qu’un système avait été infecté, le malware de Popp a demandé aux victimes d’envoyer 189 $ à une boîte postale au Panama en échange d’un outil de réparation. À titre de comparaison, le paiement unique le plus important pour un ransomware à ce jour a été effectué en mai 2021 par CNA Financial pour un montant de 40 millions de dollars de Bitcoin.

La dernière étape de tout entonnoir de vente est toujours la réalisation d’une transaction financière. L’un des principaux facteurs favorisant la rentabilité de la cybercriminalité a été la prolifération de la crypto-monnaie. Un butin de pirate d’une valeur de 40 millions de dollars pèserait environ 1 370 livres sous forme d’or, ou un peu plus de 880 livres sous forme de billets de 100 dollars. Bitcoin, en revanche, ne pèse absolument rien. Non seulement la crypto-monnaie est-elle facile à stocker et à déplacer, mais elle est difficile à suivre et à blanchir. Bien que cela soit avantageux pour les attaquants, cela peut présenter des défis supplémentaires pour leurs victimes.

De nombreuses organisations victimes de ransomwares n’ont pas les liquidités nécessaires pour payer de telles rançons, sans parler des actifs de crypto-monnaie dans leurs bilans. Les attaques de ransomware impliquent généralement un compte à rebours destiné à créer un sentiment d’urgence chez les victimes. Le facteur temps aggrave la panique des victimes en les menaçant de supprimer définitivement leurs données si la rançon n’est pas payée dans un certain délai. Pour les organisations qui n’ont aucune sauvegarde de leurs données, cela pourrait être l’iceberg dans leur coque qui les coule pour de bon.

Pour les organisations qui ont les moyens et la prévoyance de maintenir des sauvegardes robustes, les attaquants menaceront souvent de publier leurs données sensibles et leur propriété intellectuelle inestimable si leurs demandes de rançon ne sont pas satisfaites ; cette tendance est appelée « double extorsion ». Pour les victimes qui se bousculent pour effectuer des paiements de rançon, mettre la main sur suffisamment de crypto-monnaie peut être un défi. Le cash est toujours roi en termes de liquidité. Même Bitcoin – de loin la plus liquide de toutes les crypto-monnaies – n’est pas du tout proche des monnaies fiduciaires en termes de liquidité. La popularité de Bitcoin a entraîné une augmentation spectaculaire du volume des transactions, ce qui peut entraîner des retards importants dans les conversions et les transactions. Lors de l’évaluation du risque que représente le ransomware pour votre organisation, il est essentiel de prendre en compte ces risques secondaires et tertiaires au-delà de l’impossibilité d’accéder à vos données.

Si votre organisation conserve des actifs numériques d’une valeur significative, la possibilité d’être victime d’une attaque de ransomware doit figurer en bonne place sur la carte thermique de votre évaluation des risques. Cependant, il existe des mesures que les particuliers et les entreprises peuvent prendre pour s’assurer qu’un événement au niveau de l’extorsion ne devienne pas un événement au niveau de l’extinction. Alors, que faire pour ne pas être victime de piratage sur les IP ?

  1. Préparer. Effectuez une évaluation de l’impact commercial pour comprendre l’impact qu’un événement de cyber extorsion pourrait avoir sur votre organisation. Cela devrait inclure une analyse financière des réponses potentielles aux rançons et des techniques de paiement des rançons, si nécessaire. Développez un plan de réponse aux incidents robuste et effectuez des exercices sur table à une cadence régulière pour développer la mémoire musculaire, tester son efficacité et identifier les lacunes.
  2. Empêcher. Utilisez un gestionnaire de mots de passe et des mots de passe longs, forts et uniques en conjonction avec l’authentification multifacteur dans la mesure du possible. Maintenir les systèmes à jour pour limiter les vulnérabilités et restreindre l’accès aux systèmes d’information selon le principe du moindre privilège. Formez votre personnel avec une formation engageante de sensibilisation à la sécurité, en particulier en ce qui concerne l’identification et le signalement des e-mails de phishing.
  3. Partenaire. Des experts dans le domaine de la cyber-crise peuvent vous assister avant et pendant ces événements d’extorsion. Trop souvent, les victimes de rançongiciels attendent pour entrer en contact avec la violation. Pour de meilleurs résultats, il est fortement recommandé d’établir une relation avec un partenaire de confiance avant qu’un incident ne se produise pour permettre des solutions efficaces et efficientes.