Pourquoi les pirates des ransomwares aiment les week-ends de vacances

Le vendredi à l’approche du week-end du Memorial Day cette année, c’était le géant de la transformation de la viande JBS. Le vendredi précédant le 4 juillet, c’était l’éditeur de logiciels de gestion informatique Kaseya et, par extension, plus de mille entreprises de tailles diverses. Il reste à voir si la fête du travail sera également marquée par un ransomware de grande envergure, mais une chose est sûre : les pirates informatiques aiment les vacances.

Vraiment, les hackers de ransomware aiment les week-ends normaux, aussi. Mais un long week-end ? Quand tout le monde s’amuse avec sa famille et ses amis et évite soigneusement tout ce qui est lié au bureau ? C’est ça qui est bien. Et si la tendance n’est pas nouvelle, un avertissement conjoint publié cette semaine par le FBI et l’Agence de cybersécurité et de sécurité des infrastructures souligne la gravité de la menace.

L’attrait pour les attaquants est assez simple. Les rançongiciels mettent du temps à se propager dans un réseau, les pirates s’efforçant d’élever leurs privilèges pour contrôler au maximum les systèmes. Plus il faut de temps pour que quelqu’un s’en aperçoive, plus les dommages qu’ils peuvent causer sont importants. « En général, les acteurs de la menace déploient leurs ransomwares lorsqu’il y a moins de chances que les gens soient là pour commencer à débrancher les prises », explique Brett Callow, analyste des menaces chez l’éditeur d’antivirus Emsisoft. « Moins il y a de chances que l’attaque soit détectée et interrompue ».

Même si elle est attrapée relativement vite, beaucoup de personnes chargées de s’en occuper sont potentiellement au bord de la piscine, ou à tout le moins plus difficiles à joindre qu’un mardi après-midi normal. « Intuitivement, il est logique que les défenseurs soient moins attentifs pendant les vacances, en grande partie à cause de la diminution du personnel », explique Katie Nickels, directrice du renseignement de la société de sécurité Red Canary. « Si un incident majeur se produit pendant un jour férié, il peut être plus difficile pour les défenseurs de faire venir le personnel nécessaire pour répondre rapidement. »

Ce sont ces incidents majeurs qui ont probablement attiré l’attention du FBI et de la CISA ; en plus des incidents JBS et Kaseya, l’attaque dévastatrice de Colonial Pipeline a eu lieu pendant le week-end de la fête des mères. (Les agences ont déclaré qu’elles ne disposaient d’aucun « rapport de menace spécifique » indiquant qu’une attaque similaire aurait lieu pendant le week-end de la Fête du travail, mais cela ne devrait pas être une surprise si c’était le cas.

Il est important de rappeler que les rançongiciels sont une menace constante et que, pour chaque pénurie d’essence qui fait la une des journaux, des dizaines de petites entreprises s’efforcent à tout moment d’envoyer des bitcoins aux cybercriminels. Les victimes ont signalé 2 474 incidents liés à des ransomwares au centre de plaintes pour crimes sur Internet du FBI en 2020, soit une augmentation de 20 % par rapport à l’année précédente. Les demandes des pirates ont triplé dans le même laps de temps, selon les données de l’IC3. Ces attaques n’étaient pas toutes concentrées autour des week-ends de trois jours et des fêtes de fin d’année.

En fait, comme le reconnaissent la CISA et le FBI, les week-ends en général ont tendance à être populaires auprès des escrocs. M. Callow note que les soumissions à ID Ransomware – un service créé par le chercheur en sécurité Michael Gillespie qui vous permet de télécharger des notes de rançon ou des fichiers cryptés pour déterminer ce qui vous a frappé exactement – ont tendance à atteindre un pic le lundi, lorsque les victimes sont retournées à leur bureau pour trouver leurs données cryptées.

Le timing stratégique de la part des pirates prend également d’autres formes. Selon M. Callow, les attaques contre les écoles chutent brusquement à la fin du printemps et en été, car il y a alors beaucoup moins d’urgence liée à la récupération. Lorsqu’il a volé 81 millions de dollars à la Bangladesh Bank, le groupe nord-coréen Lazarus a choisi le moment du vol pour profiter non seulement des différences entre les week-ends bangladais et américains – dans le premier cas, c’est vendredi et samedi – mais aussi du Nouvel An lunaire, un jour férié dans une grande partie de l’Asie.