Avec peu d'options, les entreprises paient de l'argent aux voleurs de données

Il existe un nouvel angle inquiétant pour les cyberattaques qui est devenu plus courant au cours de la dernière année, et il s'avère coûteux pour les organisations: l'extorsion.

Au cours de la dernière année, les entreprises ont parfois versé plus d'un million de dollars américains en cachette à des cyberattaquants qui ont volé leurs données sensibles et ont menacé de les divulguer en ligne, a déclaré Charles Carmakal, vice-président de Mandiant, l'unité de criminalistique informatique de FireEye, dans une interview mercredi.

"C'est là qu'un adversaire humain a délibérément pris pour cible une organisation, a volé des données, a examiné ces données et en comprend la valeur", a déclaré Carmakal. "Nous avons vu des paiements à sept chiffres par des organisations qui ont peur que ces données soient publiées."

Mandiant a décrit de telles attaques dans un nouveau rapport publié jeudi, affirmant que dans certains cas, des dirigeants ont également été raillés par des pirates.

Les attaques d'extorsion sont plus sophistiquées que les soi-disant ransomwares tels que Cryptolocker, le malware qui crypte les fichiers d'un ordinateur et où le paiement est en bitcoin.

Alors que les attaques de ransomwares peuvent être dévastatrices dans leur brutalité, le paiement exigé est généralement de quelques centaines de dollars, bien que certaines attaques aient réussi à en extraire beaucoup plus..

Les attaques d'extorsion, cependant, sont beaucoup plus méticuleuses et pourraient être potentiellement plus dommageables, en particulier pour une grande entreprise. Carmakal a déclaré que certaines des données, si elles étaient révélées publiquement, pourraient potentiellement mettre une entreprise en faillite.

"La réalité est que beaucoup de gens paient", a-t-il déclaré..

Pour Mandiant, qui a enquêté sur de grandes violations de données chez Target, Home Depot et Anthem, il peut être difficile de conseiller une organisation sur la marche à suivre, a déclaré Carmakal..

Les attaquants ne donnent souvent pas beaucoup de temps pour permettre un examen médico-légal complet pour déterminer si les pirates bluffent. Et il y a des faux qui recherchent un paiement facile.

"Ce dont nous avons besoin, c'est de la preuve que quelqu'un a réellement accès aux données", a déclaré Carmakal. "Nous leur demandons d'envoyer un échantillon, ou nous menons une enquête aussi rapidement que possible."

Si les artefacts médico-légaux révèlent que quelqu'un s'est faufilé, la décision est très difficile à prendre: même si une entreprise paie, rien ne garantit que les attaquants ne divulgueront pas les données de toute façon.

"Il y a absolument un risque à ne pas payer, et il y a un risque à payer", a déclaré Carmakal. "L'objectif de tout le monde est de payer la rançon, et les attaquants s'en vont et ils suppriment les données, mais vous n'obtiendrez jamais la confirmation que vous voulez que les attaquants aient supprimé les données."

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.