L'année dernière, il y avait un peu d'optimisme. Il semblait que le vent tournait autour des rançongiciels après que le gouvernement américain ait remporté une poignée de victoires contre les cybercriminels en réussissant ces attaques de plus en plus dommageables : le ministère de la Justice a réussi à saisir pour 2.3 millions de dollars de bitcoins que Colonial Pipeline a payé au gang de rançongiciels DarkSide pour récupérer leurs données. , et quelques mois plus tard, il a joué un rôle dans la chute du célèbre gang de rançongiciels REvil.
Cet optimisme fut de courte durée. Malgré cette action, il semble que 2022 dépassera l'année dernière comme la pire année jamais enregistrée pour les attaques de ransomwares ; une récente signaler montre que les attaques ont augmenté de 80 % d'une année sur l'autre et que les cybercriminels responsables de ces attaques ont facilement échappé aux actions des forces de l'ordre en exploitant le ransomware en tant que service ou simplement en changeant de marque.
« Il est clair que les attaques de ransomwares sont en augmentation », déclare Matthew Prince, PDG de Cloudflare. "En septembre 2022, près d'un répondant sur quatre à notre enquête auprès des clients a déclaré avoir reçu une attaque ou une menace de ransomware, le mois le plus élevé à ce jour en 2022."
La pire année d'attaques de ransomwares
2022 a non seulement été la pire année pour les attaques de ransomwares statistiquement, mais aussi la pire dans l'ensemble. Alors que les pirates informatiques se concentraient l'année dernière sur les infrastructures critiques et les services financiers, cette année, l'accent a été mis sur les organisations où ils peuvent infliger le plus de dégâts.
Lors d'une attaque contre le district scolaire unifié de Los Angeles, des pirates de la Vice Society ont divulgué un trésor de 500 gigaoctets de données sensibles, y compris des rapports de condamnation antérieurs et des évaluations psychologiques d'étudiants, tandis qu'une attaque contre le fournisseur de services informatiques Advanced a laissé le NHS britannique en difficulté. a été contraint d'annuler des rendez-vous et le personnel s'est contenté de prendre des notes avec un crayon et du papier.
L’attaque la plus dévastatrice de 2022 est peut-être survenue il y a quelques semaines à peine après que des attaquants ont pénétré dans le géant australien de l’assurance maladie Medibank et ont accédé à environ 9,7 millions de données personnelles de clients et de données sur les demandes de remboursement de soins de santé pour près d’un demi-million de clients. Les données volées lors de l'attaque comprenaient des fichiers confidentiels liés aux avortements et aux maladies liées à l'alcool.
Ces attaques ne montrent pas seulement que les ransomwares s'aggravent. Ils montrent également que les ransomwares sont un problème mondial et qu'une action mondiale est nécessaire pour réussir à riposter. Début novembre, le gouvernement américain a commencé à aller dans la bonne direction, annonçant qu'il créerait un groupe de travail international sur les ransomwares, ou ICRTF, pour promouvoir le partage d'informations et les capacités.
"Il s'agit d'un problème mondial, les gouvernements doivent donc s'unir", déclare Camellia Chan, PDG et fondatrice de la société de cybersécurité X-PHY. « Cela étant dit, la collaboration seule ne fournira pas de solution. C'est plus que signer un accord."
Des réservoirs de carburant peuvent être vus à Colonial Pipeline Baltimore Delivery à Baltimore, Maryland, le 10 mai 2021. Le gouvernement américain a déclaré une urgence régionale le 9 mai 2021, alors que le système de pipelines de la plus grande compagnie de mazout aux États-Unis est resté en grande partie fermé. , deux jours après une attaque de ransomware.
C'est un point de vue partagé par la communauté de la cybersécurité : signer des accords et partager des renseignements, c'est très bien, mais il est peu probable qu'ils dissuadent les cybercriminels à motivation financière qui continuent de récolter les fruits de ces attaques.
Pour gagner du terrain sur les cybercriminels qui continuent d'atteindre un taux de réussite élevé, les gouvernements ont besoin d'une nouvelle approche.
Plus de coopération des gouvernements
"Vous ne pouvez pas arrêter le problème", déclare Morgan Wright, conseiller en chef de la sécurité de SentinelOne. « Il existe de nombreux exemples d'acteurs criminels transnationaux de rançongiciels et d'acteurs étatiques identifiés et accusés de divers crimes. Ces criminels vivent presque toujours dans des pays qui n'ont pas conclu de traité d'extradition avec le pays qui porte les accusations.
"Un domaine dans lequel j'aimerais voir plus d'efforts est celui de la collecte de renseignements humains", a ajouté Wright. « Nous avons besoin d'une plus grande pénétration des acteurs étatiques et des organisations criminelles. Trop souvent, les ransomwares sont considérés comme un bug. Ce n'est pas ça. C'est la cupidité humaine qui utilise la technologie pour atteindre un objectif final.
Cet élément de cupidité pourrait également faire l'objet d'une réglementation plus poussée du marché des crypto-monnaies, qui, selon beaucoup, pourrait se profiler à l'horizon. après le récent effondrement de FTX. L'ancien directeur adjoint de la CISA, Bob Kolasky, a déclaré que pour décourager définitivement les acteurs des ransomwares, les gouvernements doivent réduire les instruments financiers disponibles pour leur utilisation.
"Cela inclut l'utilisation de la pression réglementaire sur le marché de la crypto-monnaie pour faciliter le suivi et la récupération des paiements de ransomware", déclare Kolasky, un point de vue partagé par d'autres.
"Nous avons besoin que les gouvernements jouent un rôle plus important dans le blocage de la crypto-monnaie, qui est le catalyseur des stratégies de monétisation des attaquants", convient David Warburton, directeur de la société de réseau F5 Labs, notant : "Alors que les monnaies décentralisées comme le bitcoin ne sont pas intrinsèquement mauvaises, ni ne le sont ils sont les seuls responsables de l'épidémie de ransomwares à laquelle nous sommes confrontés, il est indéniable qu'ils sont un facteur énorme.
"Alors que le contrôle et la réglementation vont quelque peu à l'encontre de l'intention initiale des monnaies décentralisées, il est impossible d'échapper au fait que sans Bitcoin, les ransomwares n'existeraient tout simplement pas", a déclaré Warburton.
Mais la législation ne fonctionnerait pas à moins qu'il ne s'agisse d'un effort mondial, a-t-il ajouté : "De nombreux groupes de rançongiciels opèrent à partir de pays qui n'ont aucune motivation pour aider ceux qui sont attaqués".
Il s'agit d'un problème qui, comme le ransomware lui-même, a été exacerbé par l'invasion russe de l'Ukraine, qui a mis fin à toute coopération entre l'Europe, les États-Unis et la Russie sur les opérations de ransomware en Russie. Jason Steer, directeur de la sécurité de l'information chez le géant du renseignement sur les menaces Recorded Future, a déclaré que c'est un domaine qui a immédiatement besoin de plus de soutien de la part du gouvernement mondial.
"L'attention a considérablement diminué en 2022 en raison des activités de la Russie, d'où, en fait, de nombreux groupes opèrent en toute sécurité", a déclaré Steer.
Même si les gouvernements unissent leurs forces pour lutter en collaboration contre le problème croissant des ransomwares, il est peu probable que cela ait un effet immédiat. Les experts en sécurité ne s'attendent pas à un sursis des rançongiciels alors que nous entrons en 2023 alors que des pirates de plus en plus qualifiés exploitent de nouveaux vecteurs d'attaque et continuent d'en récolter les bénéfices financiers.
« Il y a des gouvernements qui s'efforcent de fournir plus de soutien et de ressources. Mais ce ne sera jamais assez », déclare Wright. "Les mauvais acteurs auront toujours le dessus, mais nous devrions les faire payer de manière significative chaque fois qu'une attaque est lancée."
