Un expert discute de l’attaque du ransomware Colonial Pipeline

ransomware

Crédit: CC0 Public Domain

Le 7 mai, Colonial Pipeline a annoncé avoir été victime d’une attaque de ransomware et avoir fermé l’un des plus grands pipelines de carburant aux États-Unis. Thomas Holt, directeur et professeur à la School of Criminal Justice de la Michigan State University, répond aux questions courantes sur les ransomwares et sur la manière dont nous pouvons protéger les infrastructures critiques contre de futures attaques.

Qu’est-ce qu’un ransomware exactement?

Le ransomware est une forme de logiciel malveillant (ou malware) qui tire son nom de son utilisation: amener la cible à payer une rançon. L’attaquant tente d’amener la victime à télécharger le malware via un e-mail de phishing ou un autre moyen, et une fois qu’il clique sur le malware, il exécute sa charge utile. Cela signifie qu’il installe une série de commandes et de logiciels sur le système cible et crypte efficacement les fichiers de l’utilisateur. Certains ransomwares peuvent également se propager à d’autres systèmes au sein d’un réseau une fois qu’ils infectent une cible et propager davantage les dommages qu’ils peuvent causer aux fichiers système. La charge utile informe également la victime du cryptage et lui dit qu’elle ne pourra déchiffrer ses fichiers qu’une fois qu’elle aura payé des frais sur un compte spécifique, généralement un portefeuille Bitcoin ou crypto-monnaie. Une fois payé, l’attaquant décryptera généralement les fichiers et le système est restauré, bien qu’il y ait eu des cas où cela ne fonctionne pas.

Quelles sont les motivations des pirates informatiques qui utilisent une attaque de ransomware? Y a-t-il des motifs autres que l’argent?

La motivation typique est le gain économique car ils demandent un paiement à la victime. Dans certains cas, on pourrait dire qu’il s’agit aussi de vengeance ou de se vanter, mais il s’agit en grande partie d’un gain monétaire. Les attaquants ont de plus en plus ciblé les grandes entreprises, les systèmes sensibles, etc. parce qu’ils pensent que les victimes paieront. Il y a eu deux exemples de ransomwares utilisés par les États-nations, WannaCry et NotPetya. Celles-ci sont uniques en ce sens que WannaCry était moins un ransomware et plus une tentative d’obtenir des fonds auprès des victimes. NotPetya semblait être un ransomware au début (en particulier une variante appelée Petya), mais s’est avéré être une sorte de malware qui a essentiellement ruiné le système infecté (c’est pourquoi il s’appelle NotPetya).

Comment les entreprises et / ou les forces de l’ordre gèrent-elles généralement ces types d’attaques?

De manière générale, la plupart des particuliers et des entreprises paient la rançon. C’est l’un des rares moyens de remettre les données en marche. C’est pourquoi les attaquants de ransomwares ont fait passer leurs cibles de personnes à entreprises et à des cibles plus importantes au fil du temps – tout le monde paie, donc plus votre cible est grande (et plus ses poches), plus vous en tirerez de profit si elles payaient. Il existe différents points de vue sur l’éthique du paiement des rançons, mais c’est inévitablement ce que font la plupart des entités lorsqu’elles sont touchées par un ransomware. Certains engagent également des sociétés de cybersécurité tierces pour effectuer des analyses de l’attaque, aider à l’atténuation et aider les enquêtes policières. Cependant, la fréquence de ces attaques, associée à leur coût, signifie qu’il y a plus d’attaques que d’enquêteurs pour mener avec succès des actions à travers le système judiciaire. De plus, le fait que de nombreux cybercriminels résident dans des pays étrangers complique la tâche des enquêteurs, car il faut du temps pour mettre en place tous les accords juridiques et réussir à arrêter l’auteur, encore moins à l’extrader. Il y a donc relativement peu de poursuites pour ransomware.

Quelle est la meilleure façon de se protéger de ces types d’attaques?

Au niveau individuel, la meilleure chose à faire est de 1) ne pas répondre aux e-mails ou messages suspects que vous recevez via votre navigateur; et 2) maintenez votre logiciel antivirus à jour et analysez régulièrement votre système. Cela permet de réduire le succès de toutes sortes d’attaques. Au niveau de l’entreprise, il s’agit toujours en grande partie des utilisateurs individuels au sein de votre organisation, bien qu’il existe également des erreurs de configuration du système et des vulnérabilités qui peuvent être ciblées. Il est donc important d’avoir des professionnels de la sécurité efficaces pour gérer régulièrement vos systèmes / mettre à jour et installer des correctifs. Pour les deux groupes, il est extrêmement important de sauvegarder régulièrement vos données et de stocker ces sauvegardes dans un endroit sûr. De cette façon, vous pouvez augmenter la probabilité que vous ne perdiez rien en cas d’attaque de ransomware efficace.

Que devons-nous faire en tant que pays pour protéger notre infrastructure contre ce type d’attaques?

Le plus important est de nous assurer que nous prenons la cybersécurité au sérieux et que nous utilisons réellement des pratiques de sécurité de base. Cela aidera à réduire la probabilité qu’une attaque réussisse dès le début. Deuxièmement, il serait utile de déployer des efforts plus proactifs pour intenter des poursuites judiciaires contre les opérateurs de ransomware et poursuivre ces acteurs pour commencer à décourager leurs actions. Étant donné que beaucoup opèrent à l’étranger, cela rend la détection, l’arrestation et les poursuites difficiles. Mais des poursuites plus fructueuses peuvent aider à dissuader une partie des acteurs. Enfin, il doit y avoir une sorte de résolution sur la façon d’éviter efficacement de payer les opérateurs de ransomware. Tant qu’ils reçoivent un paiement, ils continueront de cibler les systèmes. Donc, trouver des solutions techniques qui pourraient aider à vaincre les ransomwares sans payer la rançon pourrait également aider à réduire la prévalence de ces attaques.


Explainer: Qu’est-ce qu’un ransomware?


Fourni par Michigan State University

Citation: Un expert discute de l’attaque du ransomware Colonial Pipeline (2021, 12 mai) récupéré le 12 mai 2021 sur https://techxplore.com/news/2021-05-expert-discusses-colonial-pipeline-ransomware.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.