The Shadow Pandemic : les dangers actuels et futurs des ransomwares pour les entreprises

Au milieu de la lutte en cours contre le COVID-19, les gouvernements et les entreprises du monde entier sont confrontés à une autre menace virale, dont personne n'est à l'abri. Les attaques de ransomwares se sont intensifiées au cours des deux dernières années au point qu'Interpol les considère désormais comme une pandémie mondiale. Dans un appel urgent à l'action lancé à la mi-2021, Jurgen Stock, le secrétaire général de l'organisation de sécurité mondiale, a déclaré que la lutte contre les ransomwares est devenue une tâche trop importante pour qu'une organisation ou une industrie puisse l'accomplir seule. Sans une réponse mondiale, a-t-il dit, rien ne peut freiner la croissance exponentielle de la frénésie criminelle des ransomwares.

En octobre, le Conseil de sécurité nationale de la Maison Blanche a convoqué un sommet virtuel mondial sur la cybersécurité, et les 30 pays participants se sont engagés à former une coalition de type OTAN axée sur la cyberdéfense. Mais les experts consultés par Toptal affirment que les chefs d'entreprise doivent également s'engager dans la bataille contre les ransomwares.

"Cela doit être plus qu'un simple groupe de gouvernements et d'organisations internationales telles qu'Interpol", VS Subrahmanian, un leader mondial de la recherche sur la cybersécurité et de la lutte contre le terrorisme, et professeur et membre du corps professoral à l'Institut Roberta Buffett pour les affaires mondiales à l'Université Northwestern. , raconte Toptal Insights. La prévention des ransomwares doit "inclure les grandes entreprises, et elle doit inclure les personnes qui réfléchissent très profondément à ces choses, comme les chercheurs indépendants ou universitaires".

Les attaques de ransomwares se sont intensifiées au point qu'Interpol les considère désormais comme une pandémie mondiale.

Le ralentissement de la croissance de l'écosystème des rançongiciels et la défense de l'économie mondiale protégeront les entreprises aujourd'hui et à l'avenir. Même les entreprises disposant de listes de contrôle de cybersécurité de référence ne sont pas à l'abri de la menace actuelle des ransomwares. Et les chefs d'entreprise qui pensent pouvoir se sortir d'une attaque peuvent être troublés d'apprendre que seuls 8 % de ceux qui paient les pirates récupèrent toutes leurs données.

"En ce moment, les attaquants font constamment évoluer leurs stratégies pour échapper ou surmonter les défenses, c'est donc une bataille constante", déclare Subrahmanian, qui a cofondé SentiMetrix, une société de science des données et d'analyse sociale qui s'associe à des agences gouvernementales américaines, des entreprises du Fortune 500, et des universités de premier plan. "Le nombre d'attaques augmente et toutes les entreprises sont menacées."

L'état actuel des lieux

Le passage soudain au travail à distance et la dépendance accrue à l'informatique en nuage lors de l'arrêt du COVID-19 en 2020 ont révélé les faiblesses des réseaux de nombreuses entreprises et créé davantage de points d'entrée pour les logiciels malveillants - des programmes logiciels malveillants qui permettent aux pirates de verrouiller les données d'une organisation, de les supprimer de les ordinateurs de l'entreprise et la retiennent en otage sur des serveurs externes.

Le montant total payé par les organisations américaines aux attaquants de rançongiciels a plus que doublé entre 2019 et juin 2021, selon les estimations du Financial Crimes Enforcement Network (FinCen) du département du Trésor américain. Le paiement moyen de la rançon exigé de chaque victime a également explosé, passant d'un peu moins d'un million de dollars en 2019 à plus de 5 millions de dollars en 2020, selon Unit 42, un groupe mondial de recherche sur les menaces et d'analyse des logiciels malveillants appartenant à la société de cybersécurité Palo Alto Networks.

Dans l'une des attaques les plus paralysantes de l'histoire récente, des pirates ont forcé l'arrêt de l'approvisionnement en essence d'une grande partie de la côte est des États-Unis pendant cinq jours en 2021, jusqu'à ce que Colonial Pipeline Co. verse 4,4 millions de dollars de rançon. À peu près à la même époque, le géant de l'assurance basé à Chicago, CNA, a versé 40 millions de dollars aux attaquants de ransomware, établissant un nouveau record pour une attaque individuelle.

Fin 2021, le leader mondial des solutions logicielles RH Ultimate Kronos Group a été victime d'une attaque qui a poussé les principaux employeurs à se démener pour trouver d'autres moyens de payer leurs employés, deux semaines avant les vacances de Noël. Le montant de la rançon demandée n'a pas été rendu public, mais il est probable qu'il soit énorme, étant donné que l'UKG a déclaré des revenus de 3,3 milliards de dollars en 2021.

La croissance exponentielle des profits des criminels attire de plus en plus d'opportunistes du monde entier. La Chine est connue pour être un hotspot de cybercriminalité ; les autres pays actifs pour les pirates sont le Brésil, la Pologne, l'Iran, l'Inde, les États-Unis, la Russie et l'Ukraine.

Les attaques de ransomware d'aujourd'hui sont de plus en plus impitoyables

Les attaques de ransomware suivaient une procédure très simple : « Vous seriez attaqué. Certains de vos fichiers seraient cryptés. Il faudrait payer une rançon en Bitcoin pour récupérer ces fichiers », explique Subrahmanian. Ces types d'attaques ont commencé à la fin des années 1980, lorsque des virus informatiques ont été distribués sur des disquettes à des victimes sans méfiance qui devaient envoyer de l'argent à des boîtes postales anonymes pour déverrouiller leurs ordinateurs. Au fur et à mesure que le commerce mondial se déplaçait en ligne, les stratagèmes faisaient de même.

Au fil des ans, les entreprises ont réalisé que la sauvegarde fréquente de fichiers sur des disques durs externes ou des serveurs cloud neutralisait la menace de verrouillage des données. "Donc, ce que les acteurs de la menace ransomware ont fait, c'est de changer leur mode opératoire", explique Subrahmanian. « Lorsqu'ils mènent une attaque, ils ne se contentent pas de chiffrer vos données. Ils en volent aussi une partie.

Tirant parti des données volées, les pirates utilisent désormais régulièrement jusqu'à quatre types d'extorsion lors d'attaques. La première consiste à crypter les données de la victime et à les exfiltrer (supprimer) vers un serveur contrôlé par le cybercriminel. La seconde menace de divulguer publiquement les secrets exclusifs de l'organisation ou des informations qui pourraient nuire à la réputation de l'entreprise. Un troisième type d'extorsion consiste à menacer d'une attaque par déni de service (DOS), qui ferme les sites Web publics d'une organisation.

Ce sont des cyberattaques vraiment agressives et les personnes qui les mènent ont plus de pouvoir que les États-nations. —Austin Dimmer, expert DevSecOps

Un nouveau quatrième type d'extorsion de rançongiciels, appelé « extorsion externe », est apparu en 2020 lors d'une attaque inédite contre une entreprise privée qui gère 25 cliniques de santé mentale en Finlande. Non seulement les attaquants ont exigé de l'argent pour que l'entreprise puisse retrouver l'accès à ses systèmes et éviter la publication de ses données internes, mais les criminels ont également extorqué des dizaines de milliers de patients individuels, menaçant de rendre publiques leurs notes confidentielles de thérapeute et leurs dossiers de traitement s'ils ne le faisaient pas. payer en moyenne 200 euros chacun.

"Ce sont des cyberattaques vraiment agressives et les gars qui ont mené ces attaques, ils ont maintenant plus de pouvoir que les États-nations", a déclaré Austin Dimmer à Toptal Insights. Expert en DevSecOps (développement, sécurité et opérations) qui a construit et géré des réseaux sécurisés pour la Commission européenne, Lego et Publicis Worldwide, Dimmer a vu sa part du travail des cybercriminels. "Ils sont juste impitoyables et ne montrent aucune pitié."

Un réseau complexe rend les attaquants difficiles à attraper

La nature décentralisée et complexe du marché des rançongiciels rend l'appréhension des attaquants incroyablement difficile. Le réseau de personnes qui commettent une seule attaque va bien au-delà d'un seul développeur de logiciels malveillants qui crée le malware. Les développeurs effectuent rarement des attaques eux-mêmes. Au lieu de cela, ils jettent leurs marchandises sur le dark web pour les acheter ou les louer. À ce stade, les distributeurs concluent un contrat avec les développeurs pour le droit de déployer le logiciel et de mener des attaques.

Ensuite, une fois qu'une rançon est payée, un réseau de blanchisseurs d'argent de crypto-monnaie s'intensifie, nettoyant les fonds et redistribuant les bénéfices au(x) développeur(s), distributeur(s) et autres acteurs.

Même lorsque des attaquants de rançongiciels sont découverts et appréhendés, la restitution monétaire aux victimes est généralement minime. Dans l'affaire Colonial Pipeline, par exemple, le FBI n'a pu retracer les transactions de crypto-monnaie que pour récupérer environ la moitié des 4,4 millions de dollars de rançon payés.

Prédire et prévenir les futures attaques

Avec peu d'espoir de traquer les criminels et les fonds de rançon après la fin d'une attaque de ransomware, Subrahmanian se concentre sur la prédiction et la prévention. Lui et son équipe chez Northwestern développent actuellement un système prédictif capable d'anticiper le type et le moment des futures attaques de ransomwares avant que les données ne soient compromises.

Son logiciel utilise l'intelligence artificielle pour suivre les communications et les tendances sur le dark web et les médias sociaux afin d'identifier les nouveaux logiciels malveillants en cours de développement et de noter quand ils sont promus auprès de distributeurs potentiels.

Subrahmanian vise à déterminer non seulement quand mais aussi comment les pirates essaieront d'infiltrer les systèmes. Ses premières découvertes ont montré que sur les milliers de vulnérabilités possibles identifiées dans les listes de contrôle de sécurité et par les consultants, les pirates ne ciblent que 9,3 % des faiblesses. Cela signifie que les organisations peuvent gaspiller 90 % de leurs efforts de sécurité informatique sur les mauvaises protections.

Bien qu'il soit presque impossible d'anticiper les actions de groupes de piratage anonymes et d'individus répartis dans le monde entier, la surveillance des communications agrégées signalées pour des liens avec la cybercriminalité peut être révélatrice de zones de menace croissantes. Comme observer le flux des marchés financiers pour prédire les tendances, Subrahmanian espère que l'observation du vaste marché de l'activité des ransomwares aidera les chercheurs à reconnaître les logiciels malveillants émergents et leurs cibles potentielles afin que les organisations puissent prendre des mesures proactives.

Manières innovantes dont le secteur privé peut aider à lutter contre la cybercriminalité

Sans le type de prévisions fiables que l'équipe de Subrahmanian essaie de créer, les lignes de front restent un lieu difficile pour les organisations. Mais ces quatre stratégies peuvent aider les chefs d'entreprise à riposter dès maintenant :

Réduire les profits des attaquants de ransomware

Si les attaques de rançongiciels continuent de rapporter d'énormes revenus aux cybercriminels, Dimmer pense que la plupart des efforts des gouvernements et des forces de l'ordre sont voués à l'échec. Il y a tout simplement trop d'opportunités de profit, explique-t-il, d'autant plus que d'autres opportunités économiques de ce type peuvent ne pas exister dans certains des pays où les pirates sont basés.

Pour affaiblir ce moteur économique, les entreprises devraient envisager d'adopter des règles internes contre le paiement de rançons et soutenir une législation qui rendrait le paiement de rançons illégal, déclarent Subrahmanian et Ismael Peinado, directeur de la technologie de Toptal. « Pensez simplement à la raison pour laquelle nous avons ces attaques. Parce que les attaquants obtiennent de l'argent. Et pourquoi ça s'aggrave ? Parce qu'ils continuent à recevoir de l'argent », explique Peinado. « Pourquoi ne payons-nous pas de rançon aux personnes qui vont dans les banques et prennent des otages ? Pour la même raison."

Il peut sembler controversé de criminaliser les actions des victimes de rançongiciels, mais Subrahmanian note que les entreprises qui paient les cybercriminels pour sauver leurs données peuvent déjà enfreindre le droit international si les attaquants viennent de pays faisant l'objet de sanctions internationales ou sont affiliés à des organisations qui parrainent le terrorisme. Un rapport sur les paiements en crypto-monnaie aux pirates qui a suivi les pays de destination des paiements en crypto-monnaie pour les ransomwares a montré qu'au moins 15 % des paiements se sont retrouvés entre les mains d'entités interdites, en violation des lois internationales.

De plus, payer ne garantit pas que les pirates tiendront leur part du marché. Selon une récente enquête menée auprès de plus de 5 000 responsables informatiques dans le monde par la société de cybersécurité Sophos, les organisations qui ont payé n'ont récupéré en moyenne que 65 % de leurs données. Seulement 8% des victimes ont pu récupérer tous leurs fichiers.

Concentrez-vous sur SecOps plutôt que sur des listes de contrôle et des audits externes

Les leaders technologiques qui tentent de protéger leurs entreprises utilisent souvent des listes de contrôle des meilleures pratiques de sécurité, investissent dans les derniers logiciels de sécurité et embauchent des auditeurs de sécurité coûteux pour tester les vulnérabilités du réseau. Malheureusement, Peinado, un leader mondial de la cybersécurité avec 20 ans d'expérience de travail avec des organisations gouvernementales, des startups et de grandes entreprises à forte croissance, affirme que ce n'est pas la bonne approche.

Courir après des listes de contrôle et des certifications et se concentrer sur une simple conformité réglementaire peut dévorer les ressources informatiques d'une institution tout en créant un faux sentiment de sécurité parmi les dirigeants de l'entreprise. Avec les points d'accès supplémentaires aux systèmes et la dépendance à l'informatique en nuage, l'accès aux réseaux n'est plus aussi difficile qu'avant, dit-il. Pourtant, les entreprises de sécurité passent encore d'innombrables heures à vérifier les vulnérabilités des réseaux qui pourraient ne jamais être la cible des pirates. "En fin de compte, ils perdent de vue ce que font les vrais pirates, c'est-à-dire que si vous sécurisez un accès à votre maison, ils trouvent simplement un autre moyen d'entrer par effraction", dit-il.

Au lieu de cela, Peinado recommande aux leaders technologiques d'intégrer la sécurité directement dans les opérations d'ingénierie et de supprimer le cycle constant de tests et de correctifs. Ces types d'opérations de sécurité, appelées DevSecOps ou SecOps, intègrent la sécurité directement dans les opérations de développement de logiciels d'une entreprise et favorisent un environnement de réponses agiles aux nouvelles menaces, dit-il.

Par exemple, lorsqu'une nouvelle fonction ou fonctionnalité du site Web d'une entreprise est créée et lancée publiquement, un nouvel ensemble de vulnérabilités pour les pirates apparaît. Dans un cycle de travail traditionnel, les développeurs créeraient les fonctions du nouveau site Web dans un silo, puis les soumettraient à des tests par des experts en sécurité internes (et parfois externes). La sécurité serait alors corrigée et posée sur les vulnérabilités trouvées après coup.

Dans un environnement SecOps, les ingénieurs et les développeurs qui construisent le site ou la fonctionnalité s'assoient aux côtés d'un ingénieur en sécurité pour s'assurer que le niveau de sécurité approprié est intégré au fur et à mesure que le produit est développé. Cette approche intégrée rend les développeurs SecOps plus conscients et responsables d'une manière qui n'est tout simplement pas possible dans des procédures plus traditionnelles, explique Peinado.

Tirer parti des talents contingents en cybersécurité

Dimmer, qui travaille avec des clients dans le cadre du réseau de talents des développeurs de Toptal, dit qu'il reçoit des réactions mitigées lorsqu'il tente d'introduire le point de vue SecOps dans les processus des clients, souvent en raison de lacunes dans les compétences des équipes informatiques internes - les systèmes deviennent plus difficiles à utiliser car vous les rendez plus sûrs. Le succès signifie non seulement avoir les bons systèmes en place, mais aussi avoir le personnel formé pour les utiliser, dit-il.

La dotation en personnel de postes technologiques de grande valeur tels que les ingénieurs en sécurité continue d'être un problème pour les entreprises. Près d'une organisation sur 10 interrogée pour un rapport sur l'état des opérations de sécurité par TechBeacon a déclaré que le manque de talents qualifiés était le défi n°1 en matière de cybersécurité en 2021, et près de 30 % ont déclaré qu'il figurait parmi leurs trois principaux obstacles.

Les talents technologiques de premier plan peuvent être embauchés via des réseaux contingents, tels que Toptal, pour aider à combler ces lacunes. Les développeurs dans les tranchées et les leaders technologiques comme Dimmer sont très demandés depuis des décennies, mais le sont encore plus maintenant en raison d'une pénurie massive de travailleurs en cybersécurité. L'Information Systems Security Association a estimé un écart de 4 millions de professionnels dans l'industrie en 2019, et son enquête auprès des responsables informatiques en 2021 a révélé que l'écart s'est creusé depuis.

Certains chefs d'entreprise peuvent hésiter à faire appel à des talents extérieurs pour les projets de sécurité les plus sensibles, comme l'inclusion de pigistes dans les tranchées de SecOps. Mais l'externalisation d'une partie des opérations de sécurité à des talents externes est, en fait, déjà la norme : plus de la moitié des organisations interrogées par TechBeacon ont déclaré qu'elles utilisaient une combinaison de ressources internes et externes pour s'attaquer à leurs fonctions de cybersécurité.

L'avenir de la lutte contre la cybercriminalité

Jusqu'à présent, le logiciel d'IA d'alerte précoce de Subrahmanian s'est avéré efficace à 70 % pour prédire les attaques de ransomwares dans des modèles expérimentaux, dit-il. Si les tests continuent de bien se dérouler, il espère publier des prévisions d'attaques réelles à partir de la mi-2022.

Ses recherches portent également sur l'écart entre le moment où les vulnérabilités des logiciels sont identifiées et le moment où les correctifs logiciels et les mises à jour de sécurité sont largement accessibles au public. Les premiers résultats de cette recherche révèlent que près de la moitié des attaques de logiciels malveillants ont lieu pendant cette période, qui dure en moyenne environ 132 jours. Cette longue période de vulnérabilité rend sa recherche d'un modèle prédictif efficace encore plus critique pour arrêter les pirates dès l'apparition de nouvelles menaces.

En attendant, Big Tech monte en puissance. Google s'est engagé à dépenser 10 milliards de dollars au cours des cinq prochaines années pour aider à sécuriser la chaîne d'approvisionnement des logiciels et à étendre l'utilisation de systèmes de confiance zéro, des cadres de sécurité qui exigent que tous les utilisateurs internes et externes soient authentifiés en permanence. Microsoft offre 150 millions de dollars de services techniques pour aider les gouvernements locaux des États-Unis à améliorer leurs défenses. Et Amazon s'est engagé à commencer à offrir la même formation de sensibilisation à la sécurité qu'il donne à ses employés au public et à rendre l'authentification en deux étapes gratuite pour tous les clients Amazon Web Services (AWS).

La lutte contre les ransomwares en tant que menace en constante évolution prendra un village planétaire, dit Subrahmanian, et les entreprises, grandes et petites, doivent en faire partie.

En relation : Parcourir le répertoire des compétences de développeur de Toptal pour les talents SecOps