Les entreprises victimes de ransomwares et les entreprises qui facilitent les négociations avec les extorqueurs de ransomwares pourraient faire face à de lourdes amendes de la part du gouvernement fédéral américain si les escrocs qui profitent de l’attaque sont déjà sous le coup de sanctions économiques, le Département du Trésor averti aujourd’hui.
Image : Shutterstock
Dans son avis (PDF), le Trésor Bureau de contrôle des avoirs étrangers (OFAC) a déclaré que « les entreprises qui facilitent les paiements de rançongiciels aux cyberacteurs au nom des victimes, y compris les institutions financières, les compagnies d’assurance cybernétique et les entreprises impliquées dans la criminalistique numérique et la réponse aux incidents, non seulement encouragent les futures demandes de paiement de rançongiciels, mais peuvent également risquer d’enfreindre les réglementations de l’OFAC. .”
Alors que les pertes financières résultant des activités de cybercriminalité et des attaques de rançongiciels en particulier ont explosé ces dernières années, le département du Trésor a imposé des sanctions économiques à plusieurs cybercriminels et groupes de cybercriminels, gelant de fait tous les biens et intérêts de ces personnes (soumis à la juridiction américaine) et en faisant un crime de transiger avec eux.
Un certain nombre de personnes sanctionnées ont été étroitement liées à des attaques de ransomwares et de logiciels malveillants, y compris le Groupe nord-coréen Lazarus; deux Iraniens soupçonnés d’être liés au Attaques de rançongiciels SamSam; Evgeniy Bogachev, le développeur de Cryptolocker; et Evil Corp, un syndicat russe de cybercriminels qui a utilisé des logiciels malveillants pour soutirer plus de 100 millions de dollars aux entreprises victimes.
Ceux qui enfreignent les sanctions de l’OFAC sans une dispense spéciale ou une «licence» du Trésor peuvent faire face à plusieurs répercussions juridiques, y compris des amendes pouvant atteindre 20 millions de dollars.
le Bureau fédéral d’enquête (FBI) et d’autres organismes chargés de l’application des lois ont tenté de décourager les entreprises touchées par les rançongiciels de payer leurs extorqueurs, notant que cela ne faisait que financer de nouvelles attaques.
Mais dans la pratique, un bon nombre de victimes trouvent que payer est le moyen le plus rapide de reprendre les affaires comme d’habitude. De plus, les assureurs contribuent souvent à faciliter les paiements, car le montant demandé finit par être inférieur à ce que l’assureur pourrait avoir à payer pour couvrir le coût de l’entreprise concernée mise à l’écart pendant des jours ou des semaines à la fois.
Bien qu’il puisse sembler peu probable que les entreprises victimes de rançongiciels puissent d’une manière ou d’une autre savoir si leurs extorqueurs sont actuellement sanctionnés par le gouvernement américain, ils peuvent toujours être condamnés à une amende de toute façon, a déclaré Faulk au gingembreassocié du bureau de Washington, DC du cabinet d’avocats Evershed Sutherland.
Faulk a déclaré que l’OFAC peut imposer des sanctions civiles pour les violations de sanctions basées sur la « responsabilité stricte », ce qui signifie qu’une personne soumise à la juridiction américaine peut être tenue civilement responsable. même s’il ne savait pas ou n’avait pas de raison de savoir qu’il s’engageait dans une transaction avec une personne qui est interdite par les lois et réglementations en matière de sanctions administrées par l’OFAC.
« En d’autres termes, pour être tenu responsable en tant qu’affaire civile (administrative) (par opposition à pénale), aucune mens rea ou même ‘raison de savoir’ que la personne est sanctionnée n’est nécessaire en vertu des réglementations de l’OFAC », a déclaré Faulk.
Mais Fabien Wosardirecteur technique d’une société de sécurité informatique Emsisofta déclaré que les politiques du Trésor ici n’ont rien de nouveau et qu’elles constituent principalement un avertissement pour les entreprises victimes individuelles qui ne travaillent peut-être pas déjà avec les forces de l’ordre et/ou des entreprises de sécurité tierces.
Wosar a déclaré que les entreprises qui aident les victimes de ransomwares à négocier des paiements inférieurs et à faciliter les échanges financiers sont déjà conscientes des risques juridiques liés aux violations de l’OFAC et refuseront généralement les clients qui sont touchés par certaines souches de ransomwares.
« D’après mon expérience, l’OFAC et la cyberassurance avec leurs négociateurs sous contrat sont en communication constante », a-t-il déclaré. « Il existe souvent même des processus de compensation en place pour déterminer le risque que certains paiements violent l’OFAC. »
Dans ce sens, l’OFAC a déclaré que le degré de sensibilisation d’une personne / entreprise à la conduite en cause est un facteur que l’agence peut prendre en compte dans l’évaluation des sanctions civiles. L’OFAC a déclaré qu’il considérerait « le signalement d’une attaque par rançongiciel d’une entreprise, en temps opportun et complet, aux forces de l’ordre comme un facteur atténuant important pour déterminer un résultat d’application approprié s’il est déterminé ultérieurement que la situation a un lien avec les sanctions ».