Les récentes cyberattaques en août contre Bombardier Produits récréatifs et l'Ontario Cannabis Store mettent en évidence le fléau persistant des cybercriminels et des logiciels de rançon.

Un rançongiciel est un code malveillant (logiciel malveillant) qui pénètre dans un système d'information et bloque l'accès à l'ordinateur ou à ses fichiers jusqu'à ce que la victime paie pour obtenir une clé ou un mot de passe. Ransomware était un terme qui n'est entré dans le lexique populaire qu'il y a environ 10 ans (et il a été ajouté à l'Oxford English Dictionary en 2018).

Il a maintenant évolué et, en 2021, 3 729 plaintes de rançongiciels ont été enregistrées, avec des pertes de 49,2 millions de dollars US dans les seules infrastructures critiques désignées. Le paiement moyen d'un ransomware a grimpé de 82 % pour atteindre un record de 570 000 USD au premier semestre 2021.

Et ça ne fera qu'empirer. L'Internet Crime Complaint Center du FBI a signalé 2 084 plaintes concernant des rançongiciels entre janvier et le 31 juillet 2021, soit une augmentation de 62 % d'une année sur l'autre.

Pour toute organisation, les cyberattaques ne sont pas une question de « si », mais de « quand » :une cyberattaque est inévitable. Cela oblige les dirigeants à se demander :payons-nous la rançon ou non ?

Environ la moitié de toutes les organisations choisissent de payer une rançon. Mais cela signifie également qu'environ la moitié ne le font pas. Ce qui en fait un problème particulièrement épineux, c'est qu'il n'y a pas de réponse correcte ou de structure claire. Alors la question devient :Dans quelles conditions une rançon doit-elle être payée ? Et quels facteurs peuvent aider les dirigeants à prendre cette décision ?

Bloquer l'accès

Il existe quatre actions principales que les rançongiciels peuvent exécuter, incarnées dans l'acronyme LEDS :Verrouiller, Chiffrer, Supprimer ou Voler. Un rançongiciel peut verrouiller ou empêcher l'accès à des données ou à un système d'information, nécessitant une clé pour le déverrouiller. De même, il peut autoriser l'accès, mais les données sont du charabia car elles ont été chiffrées sur place, nécessitant à nouveau une clé de déchiffrement pour les rendre lisibles. Les données peuvent être supprimées sur place (effacées) ou vendues au plus offrant.

Ce qui rend les attaques de rançongiciels d'aujourd'hui particulièrement nuisibles et insidieuses, c'est qu'elles déploient souvent plus d'un de ces effets.

Une fois le logiciel malveillant intégré dans le système d'une organisation, les criminels contactent la victime, généralement par e-mail anonyme, ou via le logiciel malveillant lui-même (fenêtre pop-up) exigeant le paiement immédiat d'une rançon en crypto-monnaie et menaçant généralement d'autres dommages.

Le paiement de la rançon peut conduire à la fourniture d'une clé de déchiffrement qui, lorsqu'elle est saisie dans la fenêtre contextuelle, déverrouille immédiatement le système et tout ce qui a été chiffré.

Considérations avant le paiement

Deux dimensions doivent être prises en compte lors de la décision de payer une rançon :la décision commerciale et la décision éthique.

Les autorités chargées de l'application de la loi, y compris le FBI et la GRC, déconseillent catégoriquement de payer une rançon, jamais. Ils le font pour deux bonnes raisons :premièrement, cela récompense et encourage les activités criminelles. Deuxièmement, cela peut mettre davantage en danger l'organisation lorsqu'il devient connu dans les cercles de hackers qu'il s'agit d'une organisation prête à payer.

En d'autres termes, cela peut ne pas faire disparaître le crime et peut faire de vous une cible encore plus importante.

Si les criminels ne sont pas une organisation terroriste connue, le paiement d'une rançon n'est pas un crime. Cela pourrait changer, car certains pays, notamment les États-Unis, proposent la promulgation de lois sur la conformité aux sanctions criminalisant tous les paiements de cyber-rançons. Il peut être difficile d'attribuer l'attaque, c'est pourquoi les pirates s'identifient souvent à leurs victimes.

Un crime honnête

Il y a une analyse de rentabilisation convaincante à faire pour payer une demande de rançon. Le crime fonctionne parce que, si vous voulez, c'est un crime honnête. Autrement dit, 70 % du temps, le paiement d'une rançon se traduira par la fourniture d'une clé de déchiffrement valide.

C'est logique. Pour que les criminels profitent de cette entreprise, ils doivent faire preuve de bonne foi et tenir leur promesse.

Les criminels le savent aussi. Les campagnes ciblées voient les attaquants passer en moyenne près de six mois à l'intérieur du réseau d'une entreprise avant d'adopter des logiciels malveillants de rançon. Ils le font pour s'assurer que leur logiciel malveillant a infecté autant de systèmes que possible, y compris les sauvegardes; identifier et extraire les objets de plus grande valeur ; pour s'assurer qu'ils ne laissent pas de traces; et pour recueillir des renseignements commerciaux (tels que des plans de réponse aux incidents ou des polices d'assurance). Cela leur permet de déterminer le montant maximum de la rançon à exiger.

C'est l'essence de la décision d'analyse de rentabilisation. Supposons, par exemple, que le coût d'un événement de rançon soit estimé à 500 000 $ (en fonction de la taille de la base de données, du temps de récupération, de la validation des données lors de la récupération et d'autres dépenses). Une demande de rançon de 250 000 $ est clairement une meilleure alternative car elle est non seulement moins chère, mais plus rapide que l'alternative.

Les organisations peuvent calculer le coût de divers incidents et déterminer, en principe, leur volonté de payer pour chaque scénario de rançon possible. Cela conduit au développement de ce que l'on appelle une matrice de paiement des rançongiciels pour l'organisation.

Dimensions morales

Cependant, il y a aussi une dimension morale ou éthique à cette décision. Les paiements aux criminels peuvent ne pas être conformes aux valeurs fondamentales, à la culture ou au code d'éthique de l'organisation. Même s'ils le sont, cela pourrait ne pas convenir aux employés, aux clients et aux autres parties prenantes de l'entreprise.

Il existe de nombreux cadres et théories traitant de l'éthique en milieu de travail, et les dirigeants doivent se prévaloir d'un ou de plusieurs. Cela les aidera à prendre une décision concernant le paiement d'une rançon car, même s'il peut être judicieux sur le plan commercial de payer une rançon, ce n'est peut-être pas la bonne chose à faire pour l'organisation.

Au lieu de cela, l'organisation peut choisir d'investir des fonds qui iraient autrement au paiement de rançons dans la formation, la cyberprotection et la mise à niveau et les systèmes de correctifs.

Quelle que soit la décision, il est essentiel d'explorer toutes les options bien avant que des cyberattaques ne se produisent. Cela comprend la tenue de discussions avec les employés, les clients et les autres parties prenantes. Cela inclut également les assureurs (qui répugnent de plus en plus à s'assurer contre les événements de ransomware) et les autorités chargées de l'application de la loi.

Accepter le caractère inévitable d'une cyberattaque et explorer en profondeur différents scénarios aura le double effet non seulement de se préparer à l'attaque, mais aussi de permettre une réponse plus efficace lorsqu'elle se produit. + Explorer plus loin

Certains hackers prennent la rançon et s'enfuient :les chercheurs

Cet article est republié de The Conversation sous une licence Creative Commons. Lire l'article d'origine.