Avec peu d'options, les entreprises cèdent de plus en plus aux demandes de ransomware

Face à peu d'options, les entreprises cèdent de plus en plus aux cybercriminels qui détiennent leurs données en otage et exigent le paiement de leur retour, tandis que les responsables de l'application des lois peinent à attraper les auteurs presque invisibles.

Les risques pour les organisations sont devenus si graves que beaucoup paient simplement leurs agresseurs pour les faire disparaître - une stratégie qui ne peut qu'enhardir les escrocs.

C'est un cas de guerre électronique asymétrique. Un ransomware, qui crypte les fichiers jusqu'à ce qu'une victime paie pour les déverrouiller, peut être dévastateur pour une organisation. À moins d'une sauvegarde à jour, rien ne peut être fait à part payer les attaquants pour fournir les clés de déchiffrement.

Moins répandus mais tout aussi nuisibles sont les programmes d'extorsion de fonds, où les attaquants prétendent avoir volé des données critiques et menacent de les divulguer publiquement à moins que leurs demandes ne soient satisfaites. Les délais sont serrés: les pirates peuvent donner à une entreprise moins de 48 heures pour se conformer, déclenchant une course pour confirmer quelles données, le cas échéant, ont été volées.

Les coûts des ransomwares et de l'extorsion sont difficiles à calculer. En juin dernier, le FBI a estimé que la famille de ransomwares CryptoWall à elle seule avait coûté aux organisations américaines 18 millions de dollars par rapport à l'année précédente. En octobre, un groupe industriel a estimé le coût total de CryptoWall - qui a été détecté pour la première fois mi-2014 - bien plus élevé, à un montant stupéfiant de 325 millions de dollars..

Les coûts d'extorsion sont encore plus difficiles à estimer, car les entreprises refusent souvent d'admettre qu'elles ont été victimes. La société de sécurité informatique FireEye dit connaître les entreprises qui ont payé plus de 1 000 000 $ pour empêcher la publication de données sensibles, bien que la plupart des incidents soient résolus à moindre coût.

Le nombre d'affaires est écrasant pour les forces de l'ordre, a déclaré Erin Nealy Cox, ancienne procureure fédérale en matière de cybercriminalité et chef de l'unité de réponse aux incidents de Stroz Friedberg, qui mène des enquêtes médico-légales informatiques..

Le FBI et les services secrets "dans de nombreux cas, sont d'accord avec l'acquiescement au paiement de la rançon", a déclaré Nealy Cox, bien qu'elle ait souligné que ce n'était pas leur position officielle..

Les groupes conduisant les attaques sont difficiles à trouver. Ils sont expérimentés pour couvrir leurs traces et exiger le paiement dans le bitcoin de crypto-monnaie, ce qui rend les paiements difficiles à retracer. En outre, les pirates informatiques sont souvent basés dans des pays qui ne coopèrent pas étroitement avec les États-Unis sur la cybersécurité, ce qui rend les arrestations peu probables.

Le déverrouillage des fichiers cryptés est souvent presque impossible.

"C'est un grand défi de décrypter les victimes", a déclaré Andrew Komarov, CIO d'InfoArmor, qui recueille des informations sur les cybermenaces.

InfoArmor a réussi à perturber les ransomwares en infiltrant les réseaux informatiques utilisés pour les contrôler. Dans un exemple, Komarov a déclaré qu'une vulnérabilité avait été trouvée dans le réseau de commande et de contrôle utilisé pour distribuer un ransomware appelé CryptoLocker.

Capture d'écran

L'avertissement affiché par CryptoLocker, l'un des nombreux programmes de rançongiciels.

La vulnérabilité a permis aux chercheurs d'envoyer une commande qui a fait apparaître que des milliers de victimes avaient payé leur rançon, provoquant le décryptage de leurs ordinateurs, selon le rapport d'InfoArmor..

Mais les fins heureuses sont rares. Les incidents de ransomware les plus bien documentés ont frappé l'industrie médicale. Hollywood Presbyterian Medical Center à Los Angeles a payé 40 bitcoins - environ 17 000 $ - pour décrypter ses fichiers. 

Allen Stefanek, président et chef de la direction de Hollywood Presbyterian, a déclaré que le paiement était "dans le meilleur intérêt du rétablissement des opérations normales".

Quatre semaines plus tard, le Methodist Hospital de Henderson, dans le Kentucky, a déclaré qu'un rançongiciel connu sous le nom de Locky avait infecté ses systèmes, selon l'écrivain en sécurité informatique Brian Krebs. L'hôpital n'a pas payé de rançon mais a pu restaurer ses systèmes, selon un journal local.

Les programmes de rançongiciels et d'extorsion offrent des avantages par rapport aux autres méthodes de cybercriminalité. Plutôt que de voler des données et d'avoir besoin de trouver un acheteur pour cela dans des transactions risquées qui ont lieu dans des forums clandestins, une victime vulnérable est approchée pour le paiement directement.

"Nous commençons à voir des adversaires dans de nombreuses régions commencer à considérer les données comme une arme", a déclaré Dmitri Alperovitch, PDG de Crowdstrike. "Certes, les Nord-Coréens l'ont fait avec Sony."

Sony Pictures, dont les attaquants ont libéré des gigaoctets de données internes sensibles et détruit des ordinateurs, a été prié de ne pas publier un film considéré comme offensant pour le dirigeant nord-coréen Kim Jong-un. Le gouvernement américain a rapidement attribué l'attaque à la Corée du Nord.

Payer une rançon est une proposition tordante et pas sans ses adversaires.

Le mois dernier, Roman Hussy, qui gère un blog sur la sécurité, a lancé un Ransomware Tracker - un outil qui répertorie les serveurs du monde entier liés aux campagnes de ransomware. Il a commencé le tracker après avoir vu de nombreuses personnes devenir des victimes.

"La règle d'or consiste à effectuer des sauvegardes fréquemment et à ne jamais payer de rançon", a écrit Hussy. "Le paiement de rançons financera l'opération de cybercriminalité des malfaiteurs et l'infrastructure qu'ils utilisent pour commettre de nouvelles fraudes, et motivera les attaquants à poursuivre leurs attaques."

La stratégie de résistance de Hussy pourrait éventuellement fonctionner, mais il faudrait que de nombreuses organisations tombent en épée.

Kevin Mandia, directeur de l'exploitation de FireEye et fondateur de Mandiant, a déclaré que le fait de ne pas payer pourrait signifier de grands risques et de l'embarras - si, par exemple, le courrier électronique d'un avocat général d'une entreprise était divulgué.

"Qu'est-ce que tu ferais?" Mandia a déclaré dans une récente interview. "Les alternatives sont plutôt mauvaises."

La hausse des ransomwares et des tentatives d'extorsion est probablement une conséquence d'une meilleure sécurité des cartes de paiement aux États-Unis. Les détails des cartes volées sont de plus en plus difficiles à monétiser, de sorte que les attaquants ont trouvé un moyen plus simple de générer de l'argent.

FireEye a vu certains des mêmes outils de piratage et utilisation de l'infrastructure pour le cyberespionnage parrainé par l'État actuellement utilisés pour l'extorsion, suggérant que des pirates expérimentés voient un train de sauce.

"Enfin, le crime organisé russe et les groupes en provenance de Chine se sont rendu compte, eh bien, nous avons toujours les compétences de piratage, nous obtenons des données de carte que nous ne pouvons plus monétiser plus facilement, alors extorquons-nous", a déclaré Mandia..

Le 22 mars, le ministère de la Justice a dévoilé les charges retenues contre trois membres de l'armée électronique syrienne, un groupe qui a mené une campagne de piratage pluriannuelle à l'appui du président Bashar al-Assad..

Deux des hommes sont également accusés d'avoir extorqué 14 victimes américaines et internationales après avoir piraté leurs systèmes et menacé de causer des dommages ou de vendre des données volées. Les victimes comprenaient une société chinoise de jeux en ligne, un fournisseur d'hébergement Web au Royaume-Uni et une société de médias en ligne.

Tout compte fait, les hommes auraient exigé plus de 500 000 $, bien qu'ils aient fréquemment réduit leurs demandes après négociation, selon la plainte pénale..

"Une partie de cela ressemble à des négociations sur les otages", a déclaré Alperovitch de Crowdstrike. "Vous pouvez entamer le dialogue avec un criminel et voir si vous pouvez le bloquer et gagner plus de temps."

Mais "rien n'est infaillible lorsque vous traitez avec des voleurs", a-t-il déclaré.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.