Pourquoi les ransomwares sont si dangereux et difficiles à arrêter

EXPLICATION : Pourquoi les ransomwares sont si dangereux et difficiles à arrêter

Dans cette photo d’archive du 12 octobre 2020, un travailleur se dirige vers l’usine de conditionnement de viande JBS à Greeley, dans le Colorado. Une attaque de ransomware le week-end contre la plus grande entreprise de viande au monde perturbe la production dans le monde quelques semaines seulement après qu’un incident similaire a fait fermer une huile américaine pipeline. La Maison Blanche confirme que le transformateur de viande basé au Brésil JBS SA a notifié au gouvernement américain dimanche 30 mai 2021 une demande de rançon émanant d’une organisation criminelle probablement basée en Russie. Crédit : AP Photo/David Zalubowski, dossier

Les récentes attaques de « ransomware » très médiatisées contre la plus grande entreprise de conditionnement de viande au monde et le plus grand pipeline de carburant américain ont souligné à quel point les gangs de pirates extorqueurs peuvent perturber l’économie et mettre des vies et des moyens de subsistance en danger.

L’année dernière seulement aux États-Unis, des gangs de ransomware ont frappé plus de 100 agences fédérales, étatiques et municipales, plus de 500 centres de santé, 1 680 établissements d’enseignement et des milliers d’entreprises, selon la société de cybersécurité Emsisoft. Les pertes en dollars se chiffrent en dizaines de milliards. Les chiffres précis sont insaisissables. De nombreuses victimes évitent de signaler, craignant le fléau de leur réputation.

Les cibles connues les plus récentes incluent un opérateur de ferry du Massachusetts, le système de santé irlandais et le service de police de Washington, DC. Mais les piratages largement perturbateurs sur Colonial Pipeline aux États-Unis en mai et le transformateur de viande brésilien JBS SA cette semaine ont attiré l’attention de la Maison Blanche et d’autres dirigeants mondiaux, ainsi qu’un examen approfondi des refuges étrangers où opèrent les mafias cybercriminelles.

QU’EST-CE QU’UN RANOMWARE ? COMMENT ÇA MARCHE?

Les ransomwares brouillent les données de l’organisation cible avec un cryptage. Les criminels laissent des instructions sur les ordinateurs infectés pour négocier le paiement des rançons. Une fois payés, ils fournissent des clés de décryptage pour déverrouiller ces fichiers.

Les escrocs de ransomware se sont également étendus au chantage au vol de données. Avant de déclencher le cryptage, ils copient discrètement des fichiers sensibles et menacent de les publier publiquement à moins qu’ils ne reçoivent leur rançon. Cela peut présenter des problèmes même pour les entreprises qui sauvegardent diligemment leurs réseaux comme protection contre les ransomwares, car le refus de payer peut entraîner des coûts bien supérieurs aux rançons qu’elles auraient pu négocier.

COMMENT FONCTIONNENT LES GANGS DE RANSOMWARE ?

Les syndicats criminels qui dominent le secteur des ransomwares sont pour la plupart russophones et opèrent en toute impunité depuis la Russie et les pays alliés. Bien qu’il y a à peine trois ans, les syndicats ont gagné en sophistication et en compétences. Ils tirent parti des forums Web sombres pour s’organiser et recruter tout en cachant leurs identités et leurs mouvements avec des outils sophistiqués et des crypto-monnaies comme Bitcoin qui rendent les paiements – et leur blanchiment – plus difficiles à suivre.

Certains des principaux criminels de ransomware se considèrent comme des professionnels des services logiciels. Ils sont fiers de leur « service client », fournissant des « services d’assistance » qui aident les victimes payantes à décrypter les fichiers. Et ils ont tendance à tenir parole. Ils ont des marques à protéger, après tout.

L’entreprise est maintenant hautement spécialisée. Un affilié identifiera, cartographiera et infectera les cibles à l’aide d’un ransomware qui est généralement « loué » auprès d’un fournisseur de ransomware-as-a-service. Le fournisseur obtient une réduction du paiement ; l’affilié en prend normalement plus des trois quarts.

D’autres sous-traitants peuvent également obtenir une part. Ceux-ci peuvent inclure les auteurs des logiciels malveillants utilisés pour s’introduire dans les réseaux des victimes et les personnes exécutant des « domaines à l’épreuve des balles » derrière lesquels les gangs de ransomware cachent leurs serveurs « de commande et de contrôle ». Ces serveurs gèrent l’ensemencement à distance de logiciels malveillants et l’extraction de données avant l’activation, un processus furtif qui peut prendre des semaines.

EXPLICATION : Pourquoi les ransomwares sont si dangereux et difficiles à arrêter

Des camions-citernes sont stationnés près de l’entrée de Colonial Pipeline Company le mercredi 12 mai 2021 à Charlotte, Caroline du Nord. L’opérateur du plus grand pipeline de carburant du pays a confirmé avoir versé 4,4 millions de dollars à un gang de pirates qui ont fait irruption dans ses systèmes informatiques. C’est selon un rapport du Wall Street Journal. Le PDG de Colonial Pipeline, Joseph Blount, a déclaré au Journal qu’il avait autorisé le paiement après l’attaque du ransomware parce que la société ne connaissait pas l’étendue des dommages. Crédit : AP Photo/Chris Carlson

POURQUOI LES RANOMS CONTINUENT-ELLES À GRIMPER ? COMMENT PEUVENT-ILS ÊTRE ARRÊTÉS ?

Colonial Pipeline a confirmé avoir versé 4,4 millions de dollars au gang de pirates qui ont fait irruption dans ses systèmes informatiques le mois dernier.

Le FBI décourage le paiement de rançons, mais un groupe de travail public-privé comprenant des entreprises technologiques et des agences criminelles américaines, britanniques et canadiennes déclare qu’il serait erroné d’essayer d’interdire complètement les paiements de rançons. C’est en grande partie parce que « les attaquants de ransomware continuent de trouver des secteurs et des éléments de la société qui sont terriblement sous-préparés pour ce style d’attaque ».

Le groupe de travail reconnaît que payer peut être le seul moyen pour une entreprise en difficulté d’éviter la faillite. Pire encore, les cybercriminels sophistiqués ont souvent fait leurs recherches et connaissent la limite de couverture d’assurance cybersécurité d’une victime. Ils sont connus pour le mentionner dans les négociations.

Ce degré de connaissance criminelle a permis de porter les paiements moyens de rançon à plus de 310 000 $ l’année dernière, en hausse de 171 % par rapport à 2019, selon Palo Alto Networks, un membre du groupe de travail.

QU’EST-CE QUI EST EN FAIT?

Le président Joe Biden a signé en mai un décret visant à renforcer les défenses américaines en matière de cybersécurité, principalement en réponse au piratage des agences fédérales par la Russie et à l’ingérence dans la politique américaine. Mais les attaques de ransomware qui ont fait la une des journaux contre des entreprises privées ont commencé à dominer la conversation sur la cybersécurité alors que Biden se prépare pour un sommet le 16 juin avec son homologue russe Vladimir Poutine.

La principale secrétaire de presse adjointe de la Maison Blanche, Karine Jean-Pierre, a déclaré cette semaine que la demande de rançon de la viande JBS provenait d’une « organisation criminelle probablement basée en Russie ». Elle a déclaré que la Maison Blanche « s’engage directement avec le gouvernement russe » et « transmet le message que les États responsables n’hébergent pas de criminels ransomware ».

Le nouveau groupe de travail de l’industrie mis en place pour lutter contre les ransomwares affirme qu’il est important d’avoir une coopération diplomatique, juridique et policière concertée avec des alliés clés.

Les développeurs de ransomwares et leurs affiliés devraient être nommés et humiliés, bien qu’ils ne soient pas toujours faciles à identifier, et les régimes qui leur permettent d’être punis de sanctions, recommande son rapport.

Il appelle à la divulgation obligatoire des paiements de rançon et à un « fonds de réponse » fédéral pour fournir une aide financière aux victimes dans l’espoir que, dans de nombreux cas, cela les empêchera de payer des rançons. Et il souhaite une réglementation plus stricte des marchés des crypto-monnaies pour rendre plus difficile pour les criminels le blanchiment des produits des ransomwares.

Le groupe de travail appelle également à quelque chose de potentiellement controversé : modifier la loi américaine sur la fraude et les abus informatiques pour permettre au secteur privé de bloquer ou de limiter activement les activités criminelles en ligne, y compris les botnets, les réseaux d’ordinateurs zombies détournés que les criminels ransomware utilisent pour semer les infections.


EXPLICATION : Pas de solution miracle au ransomware, les escrocs sont hors de portée


© 2021 La Presse Associée. Tous les droits sont réservés. Ce matériel ne peut pas être publié, diffusé, réécrit ou redistribué sans autorisation.

Citation: EXPLAINATEUR : Pourquoi le ransomware est si dangereux et difficile à arrêter (2021, 3 juin) récupéré le 3 juin 2021 sur https://techxplore.com/news/2021-06-ransomware-dangerous-hard.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.