Les gangs de ransomwares font des émeutes et les payer n’aide pas

Au cours des cinq dernières années, les attaques de ransomwares sont passées de rares malheurs à des menaces courantes et perturbatrices. Détournant les systèmes informatiques des organisations et les obligeant à payer une rançon pour les récupérer, les cybercriminels extorquent librement des millions de livres aux entreprises – et ils bénéficient d’un risque d’arrestation remarquablement faible.

Pour le moment, il n’y a pas de réponse coordonnée aux attaques de ransomwares, malgré leur prévalence et leur gravité toujours croissantes. Au lieu de cela, les services de renseignement des États répondent aux cybercriminels de manière ponctuelle, tandis que les sociétés de cyberassurance recommandent à leurs clients de simplement rembourser les gangs criminels qui les extorquent.

Aucune de ces stratégies n’est durable. Au lieu de cela, les organisations doivent redoubler d’efforts en matière de cybersécurité pour bloquer le flux d’argent des entreprises victimes de chantage vers les gangs de cybercriminels. Le fait de ne pas agir signifie que les cybercriminels continueront d’investir leur butin croissant dans les technologies de ransomware, leur gardant une longueur d’avance sur nos capacités de protection.

Vol à la lumière du jour

Les ransomwares sont une forme lucrative de cybercriminalité. Il fonctionne en cryptant les données des organisations que les cybercriminels piratent. Les cybercriminels offrent alors aux organisations un choix: payer une rançon pour recevoir un code de décryptage qui vous rendra vos systèmes informatiques ou les perdra à jamais. Ce dernier choix signifie que les entreprises devraient reconstruire leurs systèmes informatiques (et parfois leurs bases de données) à partir de zéro.

Sans surprise, de nombreuses entreprises choisissent de payer discrètement la rançon, choisissant de ne jamais signaler l’infraction aux autorités. Cela signifie que les poursuites réussies contre les gangs de ransomwares sont extrêmement rares.

En 2019, la poursuite réussie d’un cybercriminel solitaire au Nigéria était une telle nouveauté que le ministère américain de la Justice a publié un communiqué de presse de célébration. Pendant ce temps, en février 2021, les procureurs français et ukrainiens ont réussi à arrêter certains affiliés Egregor, un gang qui loue de puissants ransomwares à d’autres cybercriminels. Il semble que les personnes arrêtées ont simplement loué le ransomware, plutôt que de le créer ou de le distribuer. Les experts en cybersécurité ont peu confiance dans le système de justice pénale pour lutter contre les crimes liés aux ransomwares.

La fréquence de ces crimes augmente rapidement. Un rapport de l’UE publié en 2020 a révélé que les attaques de ransomwares avaient augmenté de 365% en 2019 par rapport à l’année précédente. Depuis lors, la situation s’est probablement aggravée. La société de sécurité américaine PurpleSec a suggéré que les pertes commerciales globales causées par les attaques de ransomwares auraient pu dépasser 20 milliards de dollars américains (14,3 milliards de livres sterling) en 2020, contre 11,5 milliards de dollars américains (8,2 milliards de livres sterling) en 2019.

Même les hôpitaux ont subi des attaques. Compte tenu de l’impact potentiel d’un arrêt informatique soutenu sur la vie humaine, les bases de données de santé sont en fait activement ciblées par les gangs de ransomwares, qui savent qu’ils paieront leurs rançons rapidement et de manière fiable. En 2017, le NHS a été victime d’une telle attaque, obligeant le personnel à annuler des milliers de rendez-vous à l’hôpital, à relocaliser des patients vulnérables et à s’acquitter de leurs tâches administratives avec un stylo et du papier pendant plusieurs jours.

Faire la guerre?

Les ransomwares devenant incontrôlables, des propositions radicales sont désormais sur la table. Chris Krebs, l’ancien chef de l’agence américaine pour la cybersécurité et la sécurité des infrastructures, a récemment préconisé l’utilisation des capacités du cybercommandement américain et des services de renseignement contre les gangs de ransomwares.

Le gouvernement américain et Microsoft ont coordonné une telle attaque en 2020, ciblant l’infrastructure de malware «Trickbot botnet» – souvent utilisée par les gangs ransomwares russes – pour éviter une éventuelle perturbation des élections américaines. L’Australie est le seul pays à avoir publiquement admis avoir utilisé des cybercapacités offensives pour détruire l’infrastructure des cybercriminels étrangers dans le cadre d’une enquête criminelle.

Des opérations soutenues de ce type pourraient avoir un effet sur la capacité des cybercriminels à fonctionner, en particulier si elles sont dirigées contre les serveurs des gangs et l’infrastructure dont ils ont besoin pour transformer leur bitcoin en argent liquide. Mais la mise à disposition d’outils offensifs de cyberguerre contre les criminels crée également un précédent inquiétant.

Normaliser l’utilisation des forces armées ou des unités de renseignement contre des individus résidant dans d’autres pays est une pente glissante, surtout si l’idée est adoptée par certains des régimes les moins scrupuleux de la planète. De telles cyberopérations offensives pourraient perturber les opérations de renseignement intérieur soigneusement planifiées d’un autre État. Ils pourraient également avoir des effets négatifs sur les citoyens innocents d’États étrangers qui partagent involontairement des services Web avec des criminels.

En outre, de nombreux cybercriminels en Russie et en Chine bénéficient de facto d’une immunité de poursuites parce qu’ils travaillent occasionnellement pour les services de renseignement. D’autres sont connus pour être des hackers d’État qui font la lumière sur la cybercriminalité. Cibler ces personnes pourrait diminuer la menace des ransomwares, mais cela pourrait tout aussi bien provoquer la vengeance des pirates informatiques disposant d’outils bien plus puissants que les cybercriminels ordinaires.

Payer

Alors, quelle est l’alternative? Les assureurs, en particulier aux États-Unis, exhortent leurs clients à payer rapidement et discrètement la rançon pour minimiser les dommages causés par les perturbations. Ensuite, les assureurs permettent à l’entreprise de réclamer le paiement de la rançon sur leur assurance et d’augmenter leurs primes pour l’année suivante. Ce paiement est généralement géré de manière discrète par un courtier. En substance, l’écosystème des ransomwares fonctionne comme une raquette de protection, efficacement soutenue par des assureurs qui sont prêts à empocher des primes plus élevées à mesure que les attaques se poursuivent.

Hormis les objections morales que nous pourrions avoir à payer régulièrement de l’argent aux criminels, cette pratique pose deux problèmes pratiques importants. Premièrement, cela encourage la complaisance en matière de cybersécurité. Cette complaisance était le mieux illustrée lorsqu’une entreprise piratée payait une rançon, mais ne prenait jamais la peine d’enquêter sur la manière dont les pirates avaient violé leur système. L’entreprise a été à nouveau rapidement rançonnée, par le même groupe utilisant la même violation, deux semaines plus tard.

Deuxièmement, certains gangs de ransomwares investissent leurs gains mal acquis dans la recherche et le développement de meilleurs cyber-outils. De nombreux chercheurs en cybersécurité s’inquiètent de la sophistication croissante des logiciels malveillants utilisés par les principaux groupes de cybercriminalité tels que REvil ou Ryuk, qui seraient tous deux basés en Russie. Donner plus d’argent à ces groupes de ransomwares ne fera que renforcer leur capacité à perturber des entreprises plus nombreuses et plus grandes à l’avenir.

Aide interdite

En janvier 2021, l’ancien chef du National Cyber ​​Security Center du Royaume-Uni a appelé à l’interdiction des politiques de cyber-assurance couvrant les paiements de rançon, arguant que ces paiements financent les organisations criminelles et ne font que rendre les attaques de ransomwares plus courantes.

En réponse, l’Association britannique des assureurs est devenue la première organisation européenne à défendre publiquement cette pratique, faisant valoir que le paiement de la rançon était l’option la moins chère pour les entreprises. Naturellement, cela en fait également l’option la moins chère pour les assureurs. La couverture de rançon aide également les courtiers à vendre des polices de cyber-assurance.

En fin de compte, ni faire appel à la cavalerie ni payer les cybercriminels ne sont des solutions viables au problème croissant des ransomwares. Au lieu de cela, un effort soutenu doit être fait pour construire une culture de cybersécurité plus robuste qui a de meilleures chances de repousser les gangs de ransomwares en premier lieu. Cela exigera un engagement, non seulement de la part des conseils d’administration et des PDG, mais aussi des employés à tous les niveaux d’une organisation.

Améliorer la cybersécurité dans toutes les entreprises ne les protégera pas seulement contre les pirates d’extorsion: c’est aussi la prochaine frontière dans notre bataille pour renforcer nos défenses contre les pirates de l’État. Plus tôt nous commencerons à assumer cette responsabilité urgente, mieux ce sera.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lisez l’article original.