La lutte contre les cybermenaces est un combat sans fin. Si l'attention médiatique (et des chercheurs en cybersécurité ou encore des agences gouvernementales) a (trop) souvent été centrée sur ce qu'on a commencé à appeler, il y a une dizaine d'années, les APT  - Advanced Persistent Threat (aka des attaques sophistiquées généralement motivées par une logique de cyber espionnage étatique), le cybercrime a toujours été et reste la menace n°1 du moment. Il affecte durement et durablement tous les secteurs d’activités et les organisations de toute taille, partout dans le monde. Personne n'est épargné.

APT cybercriminelles

Les APT ont continué à évoluer, à se professionnaliser et à sophistiquer ses modes opératoires depuis 10 ans. Les techniques utilisées par certains des groupes cybercriminels les plus lucratifs n’ont plus rien à envier à certaines APT étatiques pratiquant couramment le cyber espionnage. Leur efficacité est également impressionnante.

[TheDfirReport] Ryuk in 5 hours

Seule différence notable entre cyber espionnage étatique et cybercrime : le cybercrime laisse des traces (médiatiques et financières) bien visibles. Les victimes (et bien souvent certaines de leurs données internes) sont rendues publiques sur les sites web (ou Tor) des attaquants. De la PME américaine à la multinationale française, tout le monde est devenu une cible.
Les cyber espions quant à eux, préfèrent être discrets et exfiltrer un maximum de données confidentielles. Leurs attaques sont indolores et certaines victimes n'apprendront jamais que leur R&D ou leur données clients sont désormais dans les mains de leurs concurrents...

Cybercriminalité organisée

Il s’est ainsi constitué un véritable écosystème cybercriminel qui ne date pas d’hier mais qui semble aujourd’hui avoir trouvé sa vitesse de croisière... Certains se spécialisent dans le Malware-as-a-Service. D’autres inondent les boîtes mails de liens et pièces jointes malveillantes, opèrent des botnet et revendent les accès les plus intéressants à d'autre groupes.  Qui s’en servent pour compromettre le réseau d’une victime en profondeur en quelques heures parfois, ou après plusieurs mois.

Cela se concrétise tous les jours par des organisations, qui, partout dans le monde, et quelque soit leur secteur d’activité, deviennent les victimes d'un ransomware paralysant leurs activités combiné à une fuite de données rendue publique. Certains groupes commencent à y ajouter des attaques par déni de services ditribués (DDoS)...

Un business global du ransomware devenu trop rentable

Les attaques par ransomware cristallisent la cybercriminalité même si ce n’est pas la seule, loin de là. Mais elle est tellement visible et médiatique qu’on ne peut plus simplement se contenter de compter les « victimes » et de sensibiliser les suivantes... Il faut s’interroger sur comment enrayer efficacement cette menace. Et peut être changer de braquet et d’adopter des stratégies plus offensives.

Le ransomware est devenu un business très (trop) rentable. Certains acteurs derrière ces groupes cybercriminels brassent des dizaines, des centaines de millions de dollars. Et qui sait comment est ensuite utilisé cet argent ?

Mais ce ne sont pas les seuls. Les assurances cyber ont également le vent en poupe, surtout quand elles proposent de contribuer au paiement de la rançon. D’autres acteurs, sur le papier légitime, "aident" les victimes à négocier le montant des rançons...

Nous sommes tombés dans un cercle vicieux qui encourage clairement la cybercriminalité. Car payer la rançon attire de nouveaux acteurs malveillants par ce business très rentable et peu risqué. De combien d’arrestations d’opérateurs de ransomware avez-vous entendu parler ? Et combien de victimes ont été touchées par plusieurs groupes de ransomware différents ?

[LeMagIT] Ransomware : un mois de septembre 2020 sans précédent

Ne pas payer la rançon mais après ?

Commençons par arrêter de payer les rançons, mais également les intermédiaires qui participent au financement de ce (cyber)crime organisé. Les États devraient commencer à légiférer sur ces paiements de rançon et sur le business légal qui se développe autour de ces négociations.

Les autorités américaines ont commencé à évoquer ce sujet en indiquant que les victimes (et leurs intermédiaires) versant des rançons à des groupes cybercriminels sous sanctions économiques pourrait être, elles-mêmes, sanctionnées. Triple peine pour les victimes d'un groupe cybercriminel sous sanction américaine ?

Mais ne faudrait-il pas aller plus loin ? Quel rôle joue ou devrait jouer les États dans cette lutte contre les ransomware qui touchent des villes, des administrations mais également et surtout leur tissu économique avec le nombre grandissant de victimes parmi les petites, moyennes et grandes entreprises ?

On en parle très prochainement dans un deuxième billet.

Pour en savoir plus :

Ransomware Attacks Split Between Enterprise & RaaS
<p>Coveware simplifies ransomware education and remediation.</p>
Ransomware Victims That Pay Up Could Incur Steep Fines from Uncle Sam
Companies victimized by ransomware and firms that facilitate negotiations with ransomware extortionists could face steep fines from the U.S. federal government if the crooks who profit from the attack are already under economic sanctions, the Treasury Department warned today.
Ransomware gangs add DDoS attacks to their extortion arsenal
A ransomware operation has started to utilize a new tactic to extort their victims: DDoS a victim’s website until they return to the negotiation table.