Les rançons sont sur la bonne voie

A la fin de septembre, un technicien des urgences aux États-Unis a donné à WIRED un compte rendu en temps réel de ce qui se passait dans leur hôpital en tant que L’attaque contre les rançons fait rage. Les systèmes numériques ayant été verrouillés par des pirates informatiques, les travailleurs de la santé ont été contraints de recourir à des systèmes de sauvegarde sur papier. Ils avaient déjà du mal à gérer les patients pendant la pandémie ; la dernière chose dont ils avaient besoin était plus de chaos. « C’est une question de vie ou de mort », a déclaré le technicien à l’époque.

Le même scénario s’est répété dans tout le pays cette année, avec des vagues d’attaques de rançons s’est effondré sur les hôpitaux et les réseaux de prestataires de soins de santé, avec un pic en septembre et octobre. Les districts scolaires, quant à eux, ont été frappés par des attaques qui ont paralysé leurs systèmes au moment même où les élèves tentaient de revenir en classe, en personne ou à distance. Les entreprises et les gouvernements locaux et d’État ont été confrontés à des attaques similaires à un rythme tout aussi alarmant.

Les rançons existent depuis des décennies, et c’est une attaque assez simple : Les pirates distribuent des logiciels malveillants qui cryptent des données en masse ou bloquent l’accès aux systèmes d’une cible, puis exigent un paiement pour libérer les otages numériques. Il s’agit d’une menace bien connue, mais difficile à éradiquer. Un simple clic sur un lien ou le téléchargement d’une pièce jointe malveillante pourrait donner aux attaquants l’emprise dont ils ont besoin. Et même sans ce type d’erreur humaine, les grandes entreprises et d’autres institutions comme les gouvernements municipaux ont encore du mal à consacrer les ressources et l’expertise nécessaires pour mettre en place des défenses de base. Cependant, après avoir observé ces attaques en 2020, les personnes qui ont répondu aux incidents affirment que le problème s’est aggravé et que les prévisions de rançon pour l’année prochaine sont plutôt sombres.

« Je ne vois pas pourquoi les demandes de rançon ralentiraient en 2021 », déclare Charles Carmakal, vice-président senior et directeur technique de la société de cybersécurité Mandiant, qui appartient à FireEye. « Tout ce qui s’est passé cette année m’amène à penser que la situation va continuer à empirer jusqu’à ce qu’un événement vraiment dramatique se produise. Je m’attends à voir les acteurs de la menace devenir plus perturbateurs. »

Si certains chercheurs affirment que l’ampleur et la gravité des attaques par rançon ont franchi une ligne brillante en 2020, d’autres décrivent cette année comme la prochaine étape d’une dévolution progressive et, malheureusement, prévisible. Après des années passées à perfectionner leurs techniques, les attaquants deviennent de plus en plus audacieux. Ils ont commencé à intégrer d’autres types d’extorsion comme le chantage dans leurs arsenaux, en exfiltrant les données d’une organisation puis en menaçant de les divulguer si la victime ne paie pas un supplément. Plus important encore, les auteurs de rançon sont passés d’un modèle dans lequel ils frappaient beaucoup de personnes et accumulaient de nombreuses petites rançons à un modèle dans lequel ils planifient soigneusement les attaques contre une un groupe plus restreint de grandes cibles dont ils peuvent exiger des rançons massives. La société d’antivirus Emsisoft a constaté que les frais moyens demandés sont passés d’environ 5 000 dollars en 2018 à environ 200 000 dollars cette année.

Pour que tout cela se produise, les gangs de rançon ont professionnalisé. Toute une économie souterraine s’est développée pour fournir des services de soutien tels que le vol de titres d’identité ou même la consultation de spécialistes de l’accès au réseau. En conséquence, selon Brett Callow, analyste des menaces chez Emsisoft, ce n’est pas tant la quantité ou le schéma des attaques qui a changé, mais le fait que ces attaques sont devenues encore plus efficaces et intrusives.

« Les rançons ont toujours des hauts et des bas », dit M. Callow. « Je pense vraiment que les choses n’ont pas beaucoup changé au cours de l’année. C’est quelque chose qui se fait progressivement sur une certaine période. Mais il faut reconnaître que les groupes de rançon ont fait un travail formidable pour développer leur activité ».

Les chercheurs et les responsables des incidents se concentrent entièrement sur la tentative de changer le cours menaçant des logiciels de rançon. Lundi, l’Institut pour la sécurité et la technologie lancé une Ransomware Task Force avec des partenaires comme Microsoft, la Fondation Shadowserver, Citrix et McAfee.