Une campagne de ransomware qui a ciblé 23 villes américaines à travers le Texas a soulevé de sérieuses inquiétudes quant à la vulnérabilité des gouvernements locaux et des services publics aux cyberattaques. Ces événements surviennent peu de temps après des attaques similaires contre des organisations gouvernementales et commerciales dans l'Indiana, Floride et ailleurs. Ils reflètent un changement général dans les tactiques de ransomware des attaques "spray and prier" sur un grand nombre de consommateurs individuels, à "la chasse au gros gibier, " qui cible les organisations, généralement par le biais de personnes en position de pouvoir.

Un rapport récent de la société de cybersécurité Malwarebytes a révélé une augmentation de 363 % des détections de ransomwares contre les entreprises et les organisations (par opposition aux particuliers) de 2018 à 2019. En termes simples, les cybercriminels voient une opportunité d'extorquer beaucoup plus d'argent aux organisations qu'aux individus. Bien que la majorité des attaques de ransomware se soient produites aux États-Unis, les gouvernements locaux du monde entier sont également vulnérables.

Les ransomwares se propagent généralement via des e-mails de phishing ou des liens vers des sites Web infectés, s'appuyer sur l'erreur humaine pour accéder aux systèmes. Comme son nom l'indique, ransomware est conçu pour bloquer l'accès aux données, systèmes ou services jusqu'à ce qu'une rançon soit payée. Au niveau technique, les villes ont tendance à être des cibles assez faciles car elles ont souvent des systèmes d'exploitation sur mesure, avec des pièces anciennes et obsolètes, ainsi que des mesures de sauvegarde inefficaces.

Les villes ont également tendance à manquer de politiques de sécurité à l'échelle du système, Ainsi, si les cybercriminels pénètrent via un seul système, ils peuvent alors accéder à d'autres et faire des ravages en gelant des données essentielles et en empêchant la fourniture de services. Mais même si les organisations ont amélioré leur sécurité technique, mes recherches avec ma collègue Lena Connolly ont révélé que peu d'entre eux accordent la même importance à la formation des employés pour qu'ils identifient et résistent aux attaques.

Cible acquise

Employés de nombreuses petites et moyennes organisations, comme les collectivités locales, ne reconnaissent souvent pas la véritable valeur commerciale de leur organisation pour les criminels, et pensent généralement qu'ils sont peu susceptibles d'être ciblés. Par conséquent, ils peuvent également développer de mauvaises habitudes, telles que l'utilisation des systèmes de travail pour des raisons personnelles, ce qui peut augmenter la vulnérabilité.

Les contrevenants feront leurs devoirs avant de lancer une attaque, afin de créer la perturbation la plus grave possible. Après tout, plus la pression pour payer la rançon est forte, plus ils peuvent fixer le tarif.

Les attaquants identifient les personnes clés à cibler et recherchent les vulnérabilités telles que les ordinateurs qui ont été laissés allumés en dehors des heures de travail, ou n'ont pas été mis à jour. Une fois qu'ils ont déterminé qui cibler, les cybercriminels déploient des techniques de "social engineering", comme l'hameçonnage, qui manipulent psychologiquement les victimes pour qu'elles ouvrent une pièce jointe à un e-mail ou cliquent sur un lien, qui autorise le programme ransomware dans le système d'exploitation de l'organisation.

Payer ou ne pas payer?

Payer ou non la rançon n'est pas une décision simple pour les autorités municipales avec des services publics vitaux en jeu. La plupart des services de police demandent aux victimes de ne pas payer, mais en tant que maire Stephen Witt de Lake City, Floride, l'a dit après que sa pupille a été ciblée :"Avec votre cœur, vous ne voulez vraiment pas payer ces gars. Mais, dollars et centimes, représentant les citoyens, C'était la bonne chose à faire."

Un autre problème est que les ransomwares ne sont pas toujours déployés pour extorquer de l'argent, donc payer la rançon ne garantit pas que les données seront restaurées. Les attaquants peuvent avoir des motivations diverses, compétences et ressources – déterminer leur motivation (souvent avec très peu d'informations) est donc crucial.

Plutôt que de simplement gagner de l'argent en utilisant un ransomware, certains cybercriminels peuvent chercher à neutraliser les concurrents du marché qui fournissent des biens ou des services concurrents. Ou, ils peuvent utiliser les attaques à des fins politiques, réduire la confiance du public dans la capacité d'un gouvernement local à fournir des services essentiels. Dans ces cas, les données ne seront probablement jamais restaurées, même si la rançon est payée.

Cherche couverture

De nombreuses villes sont assurées contre les attentats, et les assureurs paient souvent la rançon pour récupérer les données volées – employant parfois des négociateurs tiers, contre l'avis national. Ironiquement, la connaissance que les cybercriminels sont susceptibles d'être payés justifie le temps qu'ils passent à rechercher les faiblesses de leur cible, et laisse la porte ouverte à des attaques répétées. C'est l'une des raisons pour lesquelles les cybercriminels ont changé de tactique et ont commencé à cibler les organisations en premier lieu.

Cela laisse aux autorités municipales un choix difficile, entre payer pour restaurer des données et des services essentiels (et encourager les cybercriminels) ou admettre que leurs systèmes ont été compromis et faire face à des réactions sociales et politiques. Toutefois, il existe des mesures que les autorités municipales peuvent prendre pour se protéger, et leurs citoyens, du ransomware.

Aujourd'hui, les autorités doivent supposer qu'il s'agit de savoir quand, et non si, une attaque aura lieu. Ils doivent installer des systèmes de sauvegarde pour les données protégées qui ont la capacité de remplacer les systèmes d'exploitation et les bases de données infectés si besoin est. Par exemple, au Royaume-Uni, la recherche a révélé que 27% des organisations gouvernementales locales étaient la cible de ransomwares en 2017. Pourtant, 70% de leurs 430 répondants avaient des systèmes de sauvegarde en place, en préparation du règlement général de l'UE sur la protection des données (RGPD), et pourraient donc se remettre d'une attaque de ransomware beaucoup plus rapidement que leurs homologues aux États-Unis.

Les autorités locales doivent séparer leurs systèmes de données dans la mesure du possible et installer des niveaux de sécurité appropriés. Ils doivent également former les employés sur la nature de la menace et les impacts de leurs propres actions lorsqu'ils travaillent au sein des systèmes de l'organisation. Ils doivent également connaître les programmes internationaux visant à prévenir et à atténuer les ransomwares (tels que nomoreransom.org) – qui fournissent des conseils et publient les clés de certains ransomwares en ligne.

Les organisations publiques doivent être capables de réfléchir rapidement et de s'adapter à ces nouvelles menaces de sécurité, d'autant plus que les cybercriminels proposent toujours de nouvelles techniques. Les gouvernements locaux doivent être prêts à prévenir simultanément les cyberattaques, atténuer leurs effets lorsqu'ils se produisent et traduire les cybercriminels en justice.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.