Il y a environ un an, nous avons assisté à une nouvelle vague et une nouvelle tendance en matière d’attaques de logiciels contre le rançongicie. Lors des attaques contre la ville de Pensacola et la synagogue du New Jersey, non seulement les données avaient été cryptées, mais elles avaient été exfiltrées et les agresseurs demandaient une rançon pour ne pas les rendre publiques.
L’impact de ces types d’attaques va au-delà du cryptage et de la nécessité de récupérer les sauvegardes, elles font courir aux entreprises le risque d’une perte financière et de réputation importante en raison de poursuites judiciaires, de litiges et de non-conformité réglementaire.
Ces derniers mois, nous voyons comment cette tendance s’est accentuée et certaines organisations ont même décidé de payer les agresseurs pour éviter les sanctions ou les litiges.
Publication de données sur les entreprises par les militants de DDoSecrets
Récemment, les activistes connus sous le nom de « Distributed Denia lof Secrets » DDoSecrets ont publié sur leur site web plus d’un téraoctet de données sensibles qui ont été exfiltrées lors d’attaques de rançon et ont été collectées sur des sites web obscurs. Ces données comprennent plus de 750 000 courriels et documents provenant de différentes entreprises. En outre, ce groupe de militants de la transparence offre en privé des quantités massives de données sur les entreprises à un ensemble sélectionné de journalistes et de chercheurs universitaires. Ces données proviennent d’entreprises de différents secteurs tels que la finance, les produits pharmaceutiques, l’énergie, l’industrie manufacturière, le commerce de détail, les logiciels, l’immobilier, etc.
Selon DDoSecrets, s’il existe des informations, des données techniques, des spécifications, etc. provenant d’une entreprise d’un secteur quelconque et susceptibles d’accélérer les progrès d’une certaine industrie ou de rendre la vie des gens plus sûre, il est de leur devoir de mettre ces informations à la disposition des journalistes et des universitaires afin qu’ils connaissent la manière opaque dont ces entreprises opèrent généralement.
1,2 Go de données publiées par l’Agence de protection de l’environnement Escocesa
L’Agence de protection de l’environnement Escocesa (SEPA) a confirmé qu’après avoir refusé de payer une rançon, un groupe organisé de pirates informatiques a libéré 1,2 Go de données extraites à la suite d’une attaque par logiciel de rançongiciel. Selon l’agence, au moins 4 000 dossiers ont été volés, y compris des informations personnelles d’employés, des informations sur les marchés publics, des documents de projets en cours et des informations relatives aux plans d’entreprise de l’agence.
Données publiées à la suite d’exfiltrations dans des sociétés financières et de gestion de patrimoine
Fin 2020, des données volées à diverses sociétés financières et de gestion de patrimoine ont été retrouvées sur des sites exploités par les gangs de rançongiciel Sodinokibi et NetWalker. Leur mode de fonctionnement est, comme nous l’avons déjà évoqué, le vol de données confidentielles à ces organisations, puis la demande d’une rançon pour ne pas avoir publié ces données. Ces données contiennent les dossiers des employés, les audits, les documents financiers, les données relatives aux salaires, les dossiers des clients, etc. Même le gang criminel Sodinokibi vend ces données aux enchères sur différents forums de Dark Web.
Attaques visant des cadres pour extraire des informations confidentielles
Les gangs de rançongiciel donnent la priorité, parmi leurs cibles, aux ordinateurs ou aux appareils des cadres supérieurs des entreprises afin d’obtenir des informations sensibles qu’ils peuvent ensuite utiliser pour extorquer des entreprises contre des rançons juteuses. Selon ZDNet, ils ont découvert cette tactique après avoir parlé à une entreprise qui avait payé une rançon de plusieurs millions de dollars au gang des logiciels de rançon Clop. Après plusieurs appels, ils ont découvert qu’il ne s’agissait pas d’un cas isolé.
Ce groupe se concentre sur l’extraction de fichiers et de courriels de cadres qui peuvent être utilisés pour les menacer et mettre la direction de l’entreprise sous pression pour obtenir une rançon. Les attaques par rançongiciel visent généralement les « joyaux de la couronne » ou les données les plus précieuses pour l’entreprise, il n’est donc pas surprenant qu’elles ciblent tôt ou tard les dirigeants de l’entreprise.
27 % des organisations choisissent de payer la rançon
Selon une enquête menée par le fournisseur de sécurité Crowdstrike, parmi toutes les organisations attaquées par un rançongiciel 27 % décident de payer la rançon, la moyenne étant de 1,1 million de dollars américains. . Beaucoup décident d’effectuer le paiement pour éviter des amendes pour non-respect des réglementations, ou de faire face à des litiges et des poursuites se chiffrant en millions, ou simplement pour éviter de nouveaux scandales qui pourraient gravement nuire à leur réputation.
Par exemple, l’hôpital universitaire du New Jersey a payé 670 000 USD au gang du rançongiciel SunCrypt pour empêcher la divulgation de 240 Go de données volées, y compris des données sur les patients. Après la diffusion de 48 000 documents appartenant à l’hôpital, un représentant de l’hôpital a contacté les attaquants via leur portail de paiement sur le dark web pour négocier l’arrêt de la diffusion des données des patients.
Payer ou ne pas payer la rançon
Bien entendu, le FBI déconseille fortement de payer une rançon, , notamment parce que cela ne garantit pas que l’organisation retrouvera l’accès à ses données ou que celles-ci seront publiées. Cela encourage également les attaquants à intensifier leurs actions contre d’autres organisations et à continuer à tirer profit de l’extorsion. Quoi qu’il en soit, le FBI comprend que lorsque les entreprises ne sont pas en mesure de poursuivre leurs activités, elles évaluent toutes les options pour protéger leurs actionnaires, leurs employés et leurs clients. D’autre part, la question de savoir si le paiement d’une rançon peut violer les lois sur le financement du terrorisme, le blanchiment d’argent, etc. est soulevée.
Le chiffrement des données comme moyen de protection contre les attaques de rançongiciel
Le cryptage des données protège les informations, où qu’elles se trouvent. Si les données ont été cryptées, elles sont inaccessibles ou inutiles pour les cybercriminels. Les données peuvent être ré-encryptées par un logiciel malveillant, mais si elles sont extraites, elles ne peuvent pas être publiées, ce qui est le cas dans les attaques récentes où les données sont extraites en clair et extorquées avec la publication potentielle des données.
Les organisations ne doivent pas seulement prendre en compte une solution de cryptage traditionnelle pour se protéger de ces attaques, mais une solution qui permet le contrôle des accès et des identités et qui permet de restreindre les autorisations d’accès (Visualisation, modification, impression, etc.) .
Comment SealPath peut aider à prévenir les effets d’une attaque de type ransmoware
Avec une solution de sécurité centrée sur les données comme SealPath:
- Les données resteront protégées repos, en transit et en cours d’utilisation.
- Il est possible de limiter les autorisations d’accès, de sorte que si un document est partagé avec un tiers, celui-ci peut l’ouvrir et travailler avec le document sans avoir besoin de le déprotéger, de sorte que les copies restent cryptées quel que soit leur comportement.
- Il est possible de contrôler l’identité des personnes qui peuvent accéder à un fichier donné. Ainsi, si une identité a été compromise, il est possible de révoquer l’accès aux documents.
SealPath propose également un audit complet de l’accès aux informations protégées, afin que vous puissiez voir l’activité des utilisateurs sur la documentation sensible de l’organisation.
N’attendez pas de devoir vous poser la question de savoir s’il vaut la peine ou non de payer la rançon, mettez en place les moyens de sécuriser et de contrôler vos données en tout lieu et à l’abri d’éventuelles attaques par des logiciels de rançon.
