Les attaques de ransomware deviennent de plus en plus complexes, alors que les pirates informatiques trouvent des moyens créatifs de battre les systèmes de défense ordinaires. Crédits :christiaancolen/flickr, CC PAR
Ces dernières semaines, Le réseau informatique de Johannesburg a été détenu contre rançon par un groupe de hackers appelé Shadow Kill Hackers. C'est la deuxième fois en trois mois qu'une attaque de ransomware frappe la plus grande ville d'Afrique du Sud. Cette fois, cependant, les pirates ne représentaient pas la menace habituelle.
Plutôt que de refuser à la ville l'accès à ses données, le chantage standard dans une attaque de ransomware, ils ont menacé de le publier en ligne. Ce style d'attaque, connu sous le nom de leakware, permet aux pirates de cibler plus de victimes en une seule attaque, dans ce cas les citoyens de la ville.
La dernière attaque de Johannesburg était la deuxième attaque de leakware de ce type jamais enregistrée, et une attaque similaire pourrait bientôt frapper l'Australie. Et bien que nos défenses actuelles contre les cyberattaques soient plus avancées que de nombreux pays, nous pourrions être pris par surprise en raison de la manière unique dont fonctionnent les leakwares.
Un nouveau plan d'attaque
Lors de l'attaque de Johannesburg, les employés de la ville ont reçu un message informatique disant que les pirates avaient "compromis tous les mots de passe et les données sensibles telles que les finances et les informations personnelles sur la population". En échange de ne pas télécharger les données volées en ligne, le détruisant et révélant comment ils ont exécuté la violation, les pirates ont exigé quatre bitcoins (d'une valeur d'environ 52 $A, 663) - "une petite somme d'argent" pour une vaste mairie, ils ont dit.
Dans ce cas, l'accès aux données n'a pas été refusé. Mais la menace de publier des données en ligne peut exercer une pression énorme sur les autorités pour qu'elles s'y conforment, ou ils risquent de divulguer des informations sensibles de citoyens, et ce faisant, trahir leur confiance.
La ville de Johannesburg a décidé de ne pas payer la rançon et de restaurer elle-même les systèmes. Pourtant, nous ne savons pas si les données ont été publiées en ligne ou non. L'attaque suggère que les cybercriminels continueront d'expérimenter et d'innover dans le but de vaincre les mesures actuelles de prévention et de défense contre les attaques de leakware.
Une autre attaque de fuite notable s'est produite il y a une décennie contre l'État américain de Virginie. Les pirates ont volé des informations sur les médicaments d'ordonnance à l'État et ont tenté d'obtenir une rançon en menaçant de les publier en ligne, ou le vendre au plus offrant.
Le groupe de hackers exploitait un compte Twitter, sur laquelle ils ont posté une photo montrant les répertoires auxquels ils avaient accès. Crédit :ShadowKillGroup/twitter
Quand faire confiance à la parole d'un cybercriminel ?
Les victimes d'attaques de ransomware sont confrontées à deux options :payer, ou ne payez pas. S'ils choisissent ce dernier, ils doivent essayer d'autres méthodes pour récupérer les données qui leur sont conservées.
Si une rançon est payée, les criminels décrypteront souvent les données comme promis. Ils le font pour encourager la conformité chez les futures victimes. Cela dit, payer une rançon ne garantit pas la libération ou le décryptage des données.
Le type d'attaque vécu à Johannesburg constitue une nouvelle incitation pour les criminels. Une fois que les attaquants ont volé les données, et ont été payés la rançon, les données ont toujours une valeur extractive pour eux. Cela leur donne des incitations duelles à publier ou non les données, car le publier signifierait qu'ils pourraient continuer à extorquer de la valeur à la ville en ciblant directement les citoyens.
Dans les cas où les victimes décident de ne pas payer, la solution jusqu'à présent a été d'avoir une forte, sauvegardes de données séparées et mises à jour, ou utilisez l'un des mots de passe disponibles en ligne. Les mots de passe sont des outils de décryptage qui aident à retrouver l'accès aux fichiers une fois qu'ils ont été retenus contre rançon, en appliquant un référentiel de clés pour déverrouiller les types de ransomware les plus courants.
Mais ces solutions ne traitent pas les résultats négatifs des attaques de leakware, parce que les données « otages » ne sont pas destinées à être divulguées à la victime, mais au public. De cette façon, les criminels parviennent à innover pour éviter d'être vaincus par des sauvegardes et des clés de déchiffrement.
L'attaque de ransomware traditionnelle
Historiquement, les attaques de ransomware ont refusé aux utilisateurs l'accès à leurs données, systèmes ou services en les verrouillant hors de leurs ordinateurs, fichiers ou serveurs. Cela se fait en obtenant des mots de passe et des informations de connexion et en les modifiant frauduleusement via le processus de phishing.
Ce message d'écran de connexion a été affiché sur des ordinateurs à Johannesburg après l'attaque. Crédit :pule_madumo/twitter
Cela peut également être fait en cryptant les données et en les convertissant dans un format qui les rend inaccessibles à l'utilisateur d'origine. Dans ces cas, les criminels contactent la victime et la poussent à payer une rançon en échange de leurs données. Le succès du criminel dépend à la fois de la valeur que les données ont pour la victime, et l'incapacité de la victime à récupérer les données ailleurs.
Certains groupes cybercriminels ont même développé des canaux d'assistance « support client » en ligne complexes, pour aider les victimes à acheter de la crypto-monnaie ou à aider autrement au processus de paiement des rançons.
Problème près de chez vous
Face au risque de perdre des informations sensibles, les entreprises et les gouvernements paient souvent des rançons. C'est particulièrement vrai en Australie. L'année dernière, 81% des entreprises australiennes qui ont subi une cyberattaque ont été rançonnées, et 51 % d'entre eux ont payé.
Généralement, payer a tendance à augmenter la probabilité d'attaques futures, étendre la vulnérabilité à plus de cibles. C'est pourquoi les ransomwares sont une menace mondiale croissante.
Au premier trimestre 2019, les attaques de ransomware ont augmenté de 118%. Ils sont également devenus plus ciblés envers les gouvernements, et les secteurs de la santé et du droit. Les attaques contre ces secteurs sont désormais plus lucratives que jamais.
La menace d'attaques de leakware augmente. Et comme ils deviennent plus avancés, Les conseils municipaux et les organisations australiennes devraient adapter leurs défenses pour se préparer à une nouvelle vague d'assauts sophistiqués.
Comme l'histoire nous l'a appris, il vaut mieux prévenir que guérir.
Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.