Cette année était truffé de ransomware. 2021 a vu l’attaque contre la société de logiciels informatiques Kaseya qui a mis 1 500 organisations hors ligne, le piratage de CD Projekt Red qui a vu les acteurs de la menace s’enfuir avec le code source de jeux tels que Cyberpunk 2077 et The Witcher 3, et plusieurs attaques de grande envergure ciblant des technologies de renom. entreprises, d’Olympus à Fujitsu et Panasonic.
C’est également l’année où les pirates informatiques ont attiré l’attention du monde entier en ciblant les infrastructures critiques, en piratant le système d’oléoduc américain Colonial Pipeline, le géant de la transformation de la viande JBS et Iowa New Cooperative, une alliance d’agriculteurs qui vend du maïs et du soja, pour n’en nommer que quelques-uns.
Après que les attaques aient entraîné des fermetures prolongées, gonflé les prix du pétrole et couru le risque de pénuries alimentaires, le gouvernement américain a commencé à en prendre conscience – après des années d’inaction – et a remporté quelques rares victoires dans ce qui semblait autrefois être une bataille impossible à gagner contre l’épidémie de ransomware.
Tout a commencé en avril lorsque le ministère de la Justice a formé le groupe de travail sur les ransomwares et l’extorsion numérique. Cette décision, qui a suivi ce que le DOJ a décrit comme la « pire année » pour les attaques de ransomware, visait à donner la priorité à « la perturbation, l’enquête et la poursuite des ransomwares et des activités d’extorsion numérique ». Le groupe de travail a déclaré sa première victoire deux mois plus tard lorsque le DOJ a annoncé qu’il avait arrêté Alla Witte, une ressortissante lettone de 55 ans et l’a inculpée pour son rôle dans « une organisation transnationale de cybercriminalité » qui était à l’origine de TrickBot, l’un des plus connus. chevaux de Troie bancaires et outils de ransomware connus et largement utilisés.
Une victoire encore plus importante est survenue quelques jours plus tard lorsque le DOJ a annoncé qu’il avait saisi 2,3 millions de dollars en bitcoins que Colonial Pipeline a payés au gang de ransomware DarkSide pour récupérer ses données. Depuis lors, le gouvernement américain a offert une récompense pouvant aller jusqu’à 10 millions de dollars pour des informations permettant d’identifier ou de retrouver les dirigeants du célèbre groupe de ransomware.
Dans le même temps, le département du Trésor a annoncé des sanctions contre l’échange de crypto-monnaie Chatex pour avoir facilité les transactions de rançon, quelques semaines seulement après avoir pris des mesures similaires contre l’échange de crypto Suex.
La plus grande victoire du groupe de travail est survenue en octobre avec sa perturbation du célèbre gang de ransomware REvil. Les procureurs ont annoncé avoir inculpé un ressortissant ukrainien de 22 ans lié au gang qui a orchestré l’attaque de ransomware de juillet contre Kaseya, et ont déclaré avoir saisi plus de 6 millions de dollars de rançon liés à un autre membre du célèbre groupe de ransomware.
Les efforts du gouvernement américain pour cibler les groupes de ransomware cette année ont été applaudis par beaucoup, en particulier pour sa tactique consistant à suivre l’argent. Chainalysis, un fournisseur de logiciels d’analyse des transactions blockchain, a salué l’action du Trésor contre Suex comme une « grande victoire » contre les opérateurs de ransomware, déclarant à TechCrunch que le démantèlement des mécanismes permettant aux groupes de ransomware d’encaisser leur crypto-monnaie serait essentiel pour les ralentir. Morgan Wright, conseiller en chef de la sécurité chez SentinelOne, a déclaré que sans supprimer la principale incitation – le gain financier – les gangs de ransomware continueront à fonctionner et à se développer.
« Les attaquants auront toujours l’avantage parce qu’ils n’ont pas à suivre les règles ou la loi. Cependant, il existe deux approches qui pourraient sérieusement affecter la capacité des gangs de rançongiciels de transition à atteindre leurs objectifs – la suppression de la possibilité d’utiliser la crypto-monnaie pour les rançons et les réponses de vitesse de la machine aux attaques de vitesse de la machine », a déclaré Wright.
Le gouvernement américain a également offert des récompenses pour des informations sur les tactiques de ransomware, comme la prime de 10 millions de dollars pour des informations sur DarkSide, et la récompense ultérieure pour des informations sur REvil. « Avec des récompenses aussi importantes, ces criminels sont fortement incités à se retourner les uns contre les autres. Cette action sape la confiance dans le ransomware en tant que modèle d’affiliation de service », a déclaré à TechCrunch Jake Williams, directeur technique de BreachQuest.
Mais certains pensent que même si les actions du gouvernement ont sans aucun doute effrayé certains, il est peu probable qu’elles dissuadent les gangs de ransomware qui continuent de récolter les fruits.
« Bien que j’applaudis les efforts déployés par les forces de l’ordre pour traduire en justice les responsables des attaques de ransomware, la probabilité d’être appréhendés et emprisonnés ne l’emporte tout simplement pas sur les grosses sommes d’argent gagnées par ces groupes criminels », a déclaré Jonathan Trull de Qualys, un responsable de la sécurité informatique. entreprise. « Malheureusement, la bataille contre les ransomwares est asymétrique, ce qui signifie qu’il n’y a tout simplement pas assez de ressources policières dans le monde pour faire face aux volumes et à la complexité des enquêtes nécessaires. »
Wright a accepté et a été moins qu’impressionné par l’activité du gouvernement américain jusqu’à présent : « Arrêter deux personnes et récupérer quelques millions de dollars n’est pas une victoire sur les ransomwares. Il s’agit davantage d’une déclaration politique pour « montrer » que quelque chose est fait contre les ransomwares. 2,3 millions de dollars ne valent même pas une erreur d’arrondi quand on regarde les milliards de dollars déjà perdus.
De même, beaucoup pensent que ces tactiques ne seront probablement pas suffisantes pour repousser la menace croissante des ransomwares alors que nous entrons dans la nouvelle année, en particulier lorsque les acteurs de la menace adaptent les leurs. Les experts estiment que le modèle de ransomware en tant que service (RaaS) – dans lequel les opérateurs louent leur infrastructure de ransomware à d’autres en échange d’un pourcentage du produit de la rançon – continuera de prospérer en 2022, ce qui compliquera la tâche des forces de l’ordre. pour traquer les opérateurs.
D’autres s’attendent à ce que les chaînes d’attaques à plusieurs étapes – les violations qui commencent par un hameçonnage et conduisent au vol de données et éventuellement aux ransomwares – deviennent plus répandues, ce qui pourrait permettre aux pirates d’infiltrer même les infrastructures réseau les mieux protégées.
Ce dernier conduira probablement le gouvernement américain à collaborer plus étroitement avec le secteur privé en 2022, selon Trull. « À mon avis, les forces de l’ordre ne vont pas à elles seules renverser la vapeur. Cela devra être une combinaison d’actions d’application associées à des efforts dédiés pour renforcer les systèmes, développer et opérationnaliser des sauvegardes de données et de systèmes clés, et une réponse efficace du secteur privé. »
S’il est clair que davantage d’action est nécessaire, le gouvernement américain fait des progrès. Bien qu’une poignée de poursuites aient été ridiculisées par certains, cela a clairement eu un impact, en particulier sur la capacité des groupes de ransomware à faire de la publicité et à recruter des partenaires potentiels. À la suite de cette attention indésirable, les ransomwares ont été interdits de plusieurs forums de piratage populaires, ce qui a conduit un groupe de piratage à créer une fausse entreprise pour attirer des spécialistes informatiques involontaires afin qu’ils soutiennent son expansion continue dans l’industrie lucrative des ransomwares.
« Les gangs de ransomwares sont moins les bienvenus sur certains forums de cybercriminalité qu’ils ne l’étaient auparavant », a déclaré Brett Callow, expert en ransomware et analyste des menaces chez Emsisoft.