En analysant les portefeuilles Bitcoin et les notes de rançon, le FBI a déterminé que les victimes de cybercriminalité ont payé plus de 140 millions de dollars aux opérateurs de ransomware au cours des six dernières années.
Lors de la conférence de sécurité de la RSA de cette année, l'agent spécial du FBI, Joel DeCapua, a présenté ses conclusions au cours de deux sessions au cours desquelles il a expliqué comment il était capable d'utiliser des portefeuilles Bitcoin et des notes de rançon collectés par le FBI, partagés par des partenaires privés ou trouvés sur VirusTotal pour comprendre combien de victimes ont payé en rançon.
Selon DeCapua, entre octobre 2013 et novembre 2019, environ 144 350 000 $ ont été payés en bitcoins aux acteurs du ransomware. Cependant, ce chiffre n'inclut pas les coûts d'exploitation liés à ces attaques, mais uniquement les paiements de rançon effectués.
En ce qui concerne les familles de ransomwares les plus rentables, Ryuk a rapporté le plus d'argent aux opérateurs de ransomware à 61,26 millions de dollars, suivi de Crysis / Dharma à 24,48 millions de dollars et Bitpaymer à 8,04 millions de dollars. Il convient de noter que le montant réel des paiements effectués au cours de ces six années est probablement beaucoup plus élevé car le FBI n'a pas accès à toutes les données entourant les attaques de ransomwares, car de nombreuses entreprises les gardent secrètes pour éviter de nuire à leurs cours boursiers.
Sommaire
Défense contre les ransomwares
Au cours de ses sessions chez RSA, DeCapua a également fourni quelques conseils sur la façon dont les entreprises et les particuliers peuvent éviter d'être victimes d'attaques de rançongiciels.
DeCapua a révélé que le protocole Windows Remote Desktop Protocol (RDP) est la méthode la plus courante permettant aux attaquants de ransomware d'accéder à un réseau avant de déployer un ransomware. En fait, RDP représente 70 à 80% des violations de réseau, c'est pourquoi il recommande aux organisations d'utiliser l'authentification au niveau du réseau (NLA) pour une protection supplémentaire.
Avec NLA, les clients doivent s'authentifier auprès du réseau avant de pouvoir réellement se connecter au serveur de bureau distant. Cela offre une sécurité accrue contre les exploits de pré-authentification, mais DeCapua a également suggéré que des mots de passe uniques et complexes soient utilisés pour les comptes RDP.
En outre, DeCapua suggère aux entreprises et aux particuliers de faire attention aux attaques de phishing, d'installer des mises à jour de logiciels et de systèmes d'exploitation, d'utiliser des mots de passe complexes, de surveiller leurs réseaux et d'avoir un plan d'urgence avec des sauvegardes pour éviter d'être victime d'une attaque de ransomware.
Via BleepingComputer
