Certaines des plus grandes entreprises technologiques du monde soutiennent un nouveau groupe de travail industriel axé sur la perturbation des gangs de rançongiciels cybercriminels en limitant leur capacité à être payés et en ciblant les individus et les finances des voleurs organisés derrière ces crimes.
Dans un rapport de 81 pages remis à l’administration Biden cette semaine, les hauts dirigeants de Amazone, Cisco, FireEye, McAfee, Microsoft et des dizaines d’autres entreprises ont rejoint le Département américain de la justice (MJ), Europol et le Agence nationale du crime du Royaume-Uni en appelant à une coalition internationale pour lutter contre les criminels rançongiciels et à un réseau mondial de centres d’enquête sur les rançongiciels.
Le groupe de travail sur les ransomwares a exhorté la Maison Blanche à faire de la recherche, de la frustration et de l’arrestation des escrocs des ransomwares une priorité au sein de la communauté du renseignement américain, et à désigner le fléau actuel de l’extorsion numérique comme une menace pour la sécurité nationale.
Le journal de Wall Street récemment a annoncé la nouvelle que le DOJ formait son propre groupe de travail pour traiter les «causes profondes» des ransomwares. Une note de service interne du DOJ « appelle à l’élaboration d’une stratégie qui cible l’ensemble de l’écosystème criminel autour des ransomwares, y compris les poursuites, les interruptions des attaques en cours et les restrictions sur les services qui soutiennent les attaques, tels que les forums en ligne qui annoncent la vente de ransomwares ou les services d’hébergement qui faciliter les campagnes de rançongiciels.
Selon la société de sécurité Emsisoftprès de 2 400 gouvernements, établissements de santé et écoles basés aux États-Unis ont été victimes de ransomwares en 2020.
« Les coûts des rançongiciels vont bien au-delà des paiements de rançon eux-mêmes », observe le rapport du groupe de travail. « La cybercriminalité est généralement considérée comme un crime en col blanc, mais bien que les ransomwares soient axés sur le profit et » non violents « au sens traditionnel, cela n’a pas empêché les attaquants de ransomwares de mettre régulièrement des vies en danger. »
Il est difficile d’évaluer le véritable coût et l’ampleur du problème des rançongiciels, car de nombreuses victimes ne se présentent jamais pour signaler les crimes. En tant que telles, un certain nombre de recommandations du groupe de travail se concentrent sur les moyens d’encourager davantage de victimes à signaler les crimes à leurs autorités nationales, telles que l’obligation pour les victimes et les entreprises d’intervention en cas d’incident qui paient une demande de ransomware de signaler l’affaire aux forces de l’ordre et éventuellement aux régulateurs à la Département du Trésor américain.
L’année dernière, le Trésor a publié une note controversée avertissant que les victimes de rançongiciels qui finissent par envoyer des paiements numériques à des personnes déjà sanctionnées par le gouvernement américain pour blanchiment d’argent et autres activités illégales pourraient entraîner de lourdes amendes.
Philippe ReinerPDG de la Institut de sécurité et de technologie et directeur exécutif du groupe de travail de l’industrie, a déclaré que les recommandations de rapport sont l’un des nombreux domaines où les agences fédérales devront probablement consacrer plus d’employés. Par exemple, a-t-il dit, s’attendre à ce que les victimes acquittent les paiements de ransomware avec le département du Trésor suppose d’abord que l’agence dispose du personnel nécessaire pour répondre dans n’importe quel délai qui pourrait être utile pour une victime subissant une attaque de ransomware.
« C’est pourquoi nous étions si déterminés à proposer un cadre global », a déclaré Reiner. « De cette façon, le département de la Sécurité intérieure peut faire ce qu’il doit faire, le département d’État, le Trésor s’impliquent, et tout doit être synchronisé pour poursuivre les méchants avec la même empressement. »
Certains ont fait valoir que rendre illégal le paiement d’une rançon est un moyen de réduire le nombre de victimes qui acquiescent aux demandes de leurs bourreaux. Mais le rapport du groupe de travail indique que nous sommes encore loin d’être prêts pour cela.
« Les attaquants de ransomwares nécessitent peu de risques ou d’efforts pour lancer des attaques, donc une interdiction de payer des rançons ne les conduirait pas nécessairement à se déplacer vers d’autres domaines », observe le rapport. « Au lieu de cela, ils continueraient probablement à organiser des attaques et à tester la détermination des organisations de victimes et de leurs autorités de réglementation. Pour exercer une pression supplémentaire, ils cibleraient des organisations considérées comme plus essentielles à la société, telles que les prestataires de soins de santé, les gouvernements locaux et d’autres gardiens d’infrastructures critiques.
« Ainsi, toute intention d’interdire les paiements doit d’abord considérer comment renforcer la maturité de la cybersécurité organisationnelle et comment fournir un filet de sécurité approprié pour permettre aux organisations de traverser la période initiale de tests extrêmes », ont conclu les auteurs dans le rapport. « Idéalement, une telle approche serait également coordonnée au niveau international pour éviter de donner aux attaquants de ransomware d’autres voies à suivre. »
Le rapport du groupe de travail intervient alors que les agences fédérales subissent une pression accrue pour répondre à une série d’attaques de ransomwares qui ont été déployées en masse alors que les attaquants ont commencé à exploiter quatre vulnérabilités zero-day dans les produits de messagerie Microsoft Exchange Server pour installer des portes dérobées malveillantes. Plus tôt ce mois-ci, le DOJ annoncé le FBI avait mené une opération unique en son genre pour supprimer ces portes dérobées de centaines de serveurs Exchange dans les installations des administrations nationales et locales.
De nombreuses recommandations du rapport du groupe de travail sur les ransomwares sont ce à quoi vous pourriez vous attendre, comme encourager le partage volontaire d’informations sur les attaques de ransomwares ; lancer des campagnes de sensibilisation du public sur les menaces de ransomware ; exercer des pressions sur les pays qui fonctionnent comme des refuges pour les opérateurs de rançongiciels ; et encourager l’adoption des meilleures pratiques de sécurité par le biais d’allégements fiscaux.
Quelques-unes des recommandations les plus intéressantes (du moins pour moi) comprenaient :
-Limiter la responsabilité légale des FAI qui agissent de bonne foi en essayant d’aider les clients à sécuriser leurs systèmes.
-Créer un « fonds fédéral de réponse et de récupération en ligne » pour aider les gouvernements des États et locaux ou les entreprises d’infrastructures critiques à répondre aux attaques de ransomwares.
-Exigez que les échanges de crypto-monnaie suivent les mêmes règles de « connaître votre client » (KYC) et de lutte contre le blanchiment d’argent que les institutions financières, et ciblez de manière agressive les échanges qui ne le font pas.
-Demander aux compagnies d’assurance de mesurer et d’affirmer leurs pertes agrégées de ransomwares et d’établir un « coffre de guerre » commun fonds de subrogation « pour évaluer et poursuivre des stratégies visant à la restitution, au recouvrement ou à la saisie d’avoirs civils, au nom des victimes et en conjonction avec les efforts des forces de l’ordre. »
-Centraliser l’expertise dans la saisie de crypto-monnaie et la mise à l’échelle des processus de saisie criminelle.
-Créer un format standard pour signaler les incidents de ransomware.
-Mettre en place un réseau de réponse aux incidents de ransomware.