Acceuil

Qu’est-ce que c’est vraiment de négocier avec les attaquants de ransomware

Au moment où les deux parties commencent à parler, les pirates informatiques ont déjà acquis un contrôle important du réseau d’une entreprise, sécurisant très probablement l’accès aux données de compte sensibles, aux contrats commerciaux et à d’autres détails clés d’une organisation. Plus ils volent, plus ils ont de levier.

Selon les experts en cybersécurité, le seul moyen pour la victime de regagner du terrain est de se munir d’informations sur ce que les pirates ont réellement volé et de connaître les tactiques de négociation passées des attaquants.

C’est là qu’interviennent les négociateurs professionnels de ransomware Tony Cook et Drew Schmitt. Ensemble, travaillant pour la société de cybersécurité GuidePoint Security, les deux ont négocié des dizaines de paiements de ransomware au nom d’organisations prises en otage par des cybercriminels. Sur la base de cette expérience, ils ont développé des profils sophistiqués de nombreux groupes de cybercriminels avec lesquels ils ont eu affaire pour les aider à prendre l’avantage à la table de négociation.

“Si vous savez comment ils fonctionnent généralement, cela fait un peu plus pencher la balance en votre faveur”, a déclaré Schmitt. “Il y a une bonne quantité de stratégie qui se passe avant d’arriver à la table de négociation.”

Le FBI et les experts en cybersécurité déconseillent fortement de payer les attaquants ransomware, principalement parce que cela encourage de nouvelles attaques. “Ils savent que vous avez déjà pris la décision de payer”, a déclaré Lior Div, fondateur et PDG de la société de cybersécurité Cyber ​​Reason, “et maintenant c’est, genre, prendre une autre décision de payer est facile.”

Mais une série d’attaques très médiatisées cette année a conduit à des paiements époustouflants. Lorsque Le pipeline colonial a été touché, provoquant un arrêt préventif des opérations qui ont causé des pénuries de carburant à l’échelle nationale, il a accepté de payer le gang de cybercriminels DarkSide 4,4 millions de dollars en crypto-monnaie. Fournisseur de viande Aliments JBS payé 11 millions de dollars pour résoudre une attaque de ransomware par le groupe REvil. Et le même gang de ransomware a demandé 70 millions de dollars pour déverrouiller tous les appareils qui, selon lui, avaient été touchés lors d’une attaque contre Kaseya, un fournisseur de services informatiques qui soutient indirectement d’innombrables petites entreprises telles que des restaurants locaux, des cabinets comptables et des cabinets dentaires.

En 2020, selon la société d’analyse de blockchain Chainalysis, les paiements de rançon, généralement effectués en crypto-monnaie, ont totalisé l’équivalent de 416 millions de dollars, soit plus de quatre fois le niveau de 2019. Et la société a confirmé plus de 200 millions de dollars de paiements jusqu’à présent cette année.

La table de négociation virtuelle

Une négociation de ransomware entraîne rarement la disparition complète d’une demande de rançon. Mais une rencontre réussie peut faire la différence entre payer des centaines de milliers de dollars et payer des millions, ont déclaré Cook et Schmitt.

“Parfois, vous ne pouvez descendre que 10 000 $”, a déclaré Cook. “Cela dépend vraiment de ce que l’acteur perçoit qu’il a et des tactiques de négociation pour faire avancer les choses.”

Dès qu’une victime décide de payer une rançon et contacte son agresseur, cela déclenche une horloge qui conduit souvent à la publication des documents piratés d’une organisation si les deux parties ne parviennent pas rapidement à un accord, ont-ils déclaré.

Kaseya affirme que jusqu'à 1 500 entreprises ont été compromises dans une attaque massive de ransomware

Les négociations vont vite. De nombreux groupes de ransomware communiquent avec leurs victimes à l’aide d’outils de chat en ligne et de messagerie instantanée. Les outils sont conçus pour être faciles à utiliser, car, après tout, les criminels dirigent également une entreprise. Ils sont incités à rendre le processus de négociation et de paiement aussi rapide et facile que possible, afin de maximiser les profits.

Étant donné que de nombreux groupes de cybercriminels opèrent à partir de pays étrangers, les négociations sur les forums de discussion font un usage intensif de Google Translate, a déclaré Schmitt. Les messages laconiques, d’un mot ou d’une phrase des pirates informatiques dans un anglais approximatif sont la norme. Malgré la barrière de la langue, de nombreuses rencontres de négociation se terminent en 10 à 15 échanges.

C’est pourquoi il est si essentiel pour les entreprises piratées d’enquêter rapidement sur leurs propres systèmes avant de finaliser le paiement de la rançon. Les victimes doivent pouvoir affirmer de manière crédible : « Peu importe ce que vous pensez avoir, cela ne vaut pas autant d’argent », a déclaré Cook. Et les victimes ne peuvent pas dire cela à moins d’avoir une bonne compréhension de ce sur quoi elles ont perdu le contrôle.

Cet argument peut encore se retourner contre eux si les pirates savent qu’ils ont obtenu des données vraiment sensibles – comme des secrets commerciaux ou des données financières – qu’une entreprise ne peut pas se permettre de rendre publiques. Dans certains cas, les attaquants de ransomware ont réalisé que les entreprises refusaient de payer parce qu’elles pouvaient simplement restaurer les données à partir des sauvegardes, selon Div of Cyber ​​Reason. Ainsi, avant de crypter les données, les attaquants recherchent des informations sensibles – “votre liste de clients, votre propriété intellectuelle, vos e-mails désagréables, tout ce qui pourrait vous embarrasser”, a-t-il déclaré – puis menacent de les publier si la victime refuse de payer.

Si cela ne suffit pas, Div a déclaré que les attaquants peuvent contacter les clients d’une entreprise pour augmenter la pression sur eux pour qu’ils paient.

L’épée à double tranchant des polices d’assurance cyber

À mesure que les attaques de ransomware ont augmenté, la demande d’assurance cybersécurité a également augmenté.

L’assurance cybersécurité est désormais une industrie de plusieurs milliards de dollars, selon Morgan Wright, conseiller principal en sécurité de la société de cybersécurité SentinelOne. La cyberassurance est de plus en plus sophistiquée, offrant aux entreprises un guichet unique pour la réponse au piratage. Les compagnies d’assurance passent des contrats avec des équipes massives d’avocats, d’experts techniques et médico-légaux et, oui, de négociateurs pour aider les victimes à gérer et à se remettre d’une attaque de ransomware.

“La minute où vous déposez une réclamation – tout comme un consommateur, si vous déposez une réclamation auprès de Geico – cela ne vous appartient pas à ce stade”, a déclaré Wright.

La fréquence des demandes de ransomware a augmenté de 150 % depuis 2018, selon AIG, l’une des plus grandes compagnies d’assurance du pays et l’un des principaux fournisseurs de cyberassurance. Et les demandes de rançon représentaient une réclamation d’assurance cybersécurité sur cinq l’année dernière, selon une fiche d’information d’AIG.

Ce qu’une entreprise peut payer pour la cyber-assurance dépend en partie du nombre de fois où une organisation a été touchée dans le passé, ainsi que d’autres données actuarielles, a déclaré Wright.

“Si j’ai une mauvaise hygiène en ligne, mes tarifs vont être beaucoup, beaucoup plus élevés qu’une entreprise qui a de bonnes politiques”, a-t-il déclaré.

La Maison Blanche exhorte les entreprises touchées par la récente attaque de ransomware à signaler au Internet Crime Complaint Center

Mais la cyber-assurance peut aussi être une arme à double tranchant, selon Karen Sprenger, COO et négociatrice en chef des ransomwares chez LMG Security. “Nous commençons à voir où les attaquants parcourent les données et à rechercher des polices d’assurance cyber pour voir quelle est la franchise et comprendre le montant de la couverture dont ils disposent.” Sprenger a déclaré avoir vu des cas où des attaquants ont ensuite utilisé ces informations pour demander des rançons plus élevées.

Le meilleur remède, bien sûr, est de ne pas être dans la situation dès le départ. La prévention des attaques de ransomware est relativement simple, selon les experts en cybersécurité. Assurez-vous que votre logiciel est à jour, exigez que vos employés utilisent une authentification multifacteur, utilisent des pare-feu et surveillent votre réseau pour intercepter le trafic Internet non autorisé et établissent des protocoles d’incident de cybersécurité.

Mais trop d’organisations n’ont toujours pas les compétences nécessaires pour mettre en œuvre même ces précautions de base, a déclaré Ed Amoroso, PDG de la société de cybersécurité TAG Cyber.

“Cette pénurie de compétences envahit tout”, a-t-il déclaré. “C’est dans tous les secteurs. Il n’y a pas assez de gens qui savent faire ça.”

Et c’est pourquoi des négociateurs comme Cook et Schmitt continuent de lancer des appels à l’aide. À eux deux, ils ont maintenant traité 75 cas – et ce n’est pas fini.


Source link

Afficher plus

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page