L’histoire du piratage des rançons et de la crypto-monnaie

Plus tôt ce mois-ci, des centaines d’entreprises des États-Unis à la Suède ont été empêtrées dans le Attaque de ransomware Kaseya sur Kaseya, qui fournit une infrastructure réseau aux entreprises du monde entier.

Le piratage de Kaseya fait suite à d’autres cyberattaques qui ont fait la une des journaux comme le Détournement de pipeline colonial et le Piratage du fournisseur de viande JBS. Dans chaque cas, les criminels ont eu la possibilité de s’enfuir avec des millions – et une grande partie des rançons ont été payées en Bitcoin.

« Nous devons nous rappeler que la principale raison de la création de Bitcoin était en premier lieu de fournir l’anonymat et des capacités de transaction sécurisées, sans confiance et sans frontières », a déclaré Keatron Evans., chercheur principal en sécurité à l’Institut Infosec.

Alors que Bitcoin gagne en importance sur les marchés du monde entier, les cyber-escrocs ont trouvé un outil essentiel pour les aider à déplacer rapidement et sous un pseudonyme des actifs illégaux. Et de l’avis de tous, les attaques ne font que devenir plus courantes.

Les ransomwares en hausse

Le ransomware est un cybercrime qui consiste à racheter des données personnelles et professionnelles au propriétaire de ces données.

Premièrement, un criminel pirate un réseau privé. Le piratage est réalisé par diverses tactiques, notamment le phishing, l’ingénierie sociale et l’exploitation des mots de passe faibles des utilisateurs.

Une fois l’accès au réseau obtenu, le criminel verrouille les fichiers importants au sein du réseau à l’aide du cryptage. Le propriétaire ne peut pas accéder aux fichiers à moins de payer une rançon. De nos jours, les cybercriminels ont tendance à demander leurs rançons en crypto-monnaies.

Le FBI estime que les attaques de ransomware ont représenté au moins 144,35 millions de dollars de rançons Bitcoin de 2013 à 2019.

Ces attaques sont évolutives et peuvent être très ciblées ou larges, piégeant toute personne qui clique sur un lien ou installe un logiciel particulier.

Cela permet à une petite équipe de cyber-escrocs de racheter des données à des organisations de toutes tailles – et les outils nécessaires pour pirater une petite entreprise ou une coopération multinationale sont en grande partie les mêmes.

Les particuliers, les entreprises et les gouvernements des États et nationaux ont tous été victimes – et beaucoup ont décidé de payer des rançons.

Le monde des affaires d’aujourd’hui dépend des réseaux informatiques pour garder une trace des données administratives et financières. Lorsque ces données disparaissent, il peut être impossible pour l’organisation de fonctionner correctement. Cela fournit une grande incitation à payer.

Bien que les victimes d’attaques de ransomware soient encouragées à signaler le crime aux autorités fédérales, aucune loi américaine n’exige que vous deviez signaler les attaques (sauf si des données personnelles sont exposées). Compte tenu de cela, il existe peu de données faisant autorité sur le nombre d’attaques ou de paiements de rançon.

Cependant, une étude récente de Threatpost a révélé que seulement 20 % des victimes paient. Quel que soit le nombre réel, le FBI recommande de ne pas payer de rançons car il n’y a aucune garantie que vous récupérerez les données, et le paiement de rançons crée une incitation supplémentaire aux attaques de ransomwares.

Pourquoi les pirates aiment-ils la crypto-monnaie ?

La crypto-monnaie fournit un outil de rançon utile pour les cyber-escrocs. Plutôt que d’être une aberration ou une mauvaise utilisation, la possibilité d’effectuer des transferts anonymes (ou pseudonymes) est une proposition de valeur centrale de la crypto-monnaie.

« Bitcoin peut être acquis assez facilement. Il est décentralisé et facilement

disponible dans presque tous les pays », déclare Koen Maris, expert en cybersécurité et membre du conseil consultatif de la Fondation IOTA.

Différentes crypto-monnaies présentent différents niveaux d’anonymat. Certaines crypto-monnaies, comme Monero et Zcash, se spécialisent dans la confidentialité et peuvent même offrir un niveau de sécurité plus élevé que Bitcoin pour les cybercriminels.

C’est parce que Bitcoin n’est pas vraiment anonyme – c’est un pseudonyme. Grâce à un travail de détective et à une analyse minutieux, il semble possible de retracer et de récupérer le Bitcoin utilisé pour des rançons, comme le FBI l’a récemment démontré après le piratage de Colonial Pipeline. Bitcoin n’est donc pas nécessairement utilisé par les rançonneurs simplement à cause des fonctionnalités de sécurité. Les transferts Bitcoin sont également rapides, irréversibles et facilement vérifiables. Une fois qu’une victime de ransomware a accepté de payer, le criminel peut regarder le transfert se dérouler sur la blockchain publique.

Une fois la rançon envoyée, elle est généralement partie pour toujours. Ensuite, les escrocs peuvent soit échanger le Bitcoin contre une autre devise – crypto ou fiat – soit transférer le Bitcoin vers un autre portefeuille pour le garder en sécurité.

Bien qu’on ne sache pas exactement quand ni comment Bitcoin est devenu associé aux ransomwares, les pirates, les cyber-escrocs et les passionnés de crypto sont tous des sous-cultures averties en informatique avec une affinité naturelle pour les nouvelles technologies, et Bitcoin a été adopté pour des activités illicites en ligne peu après sa création. L’une des premières utilisations populaires de Bitcoin était la monnaie pour les transactions sur le dark web. Le tristement célèbre route de la soie était parmi les premiers marchés qui ont accepté Bitcoin.

Impact financier

Les ransomwares sont une grosse affaire. Selon Chainanalysis, les cybercriminels se sont emparés d’un peu moins de 350 millions de dollars de crypto-monnaie lors d’attaques de ransomware l’année dernière. C’est une augmentation de plus de 300 % du montant des rançons payées par rapport à l’année précédente.

La pandémie de COVID-19 a ouvert la voie à une recrudescence des attaques de ransomware. Avec de vastes étendues de la main-d’œuvre mondiale quittant des environnements informatiques d’entreprise bien renforcés pour des bureaux à domicile, les cybercriminels avaient plus de surface à attaquer que jamais.

Selon les recherches du cyberinsurer Coalition, les changements organisationnels nécessaires pour s’adapter au travail à distance ont ouvert davantage d’entreprises aux exploits de la cybercriminalité, les assurés de Coalition signalant une augmentation de 35% des fraudes par transfert de fonds et des réclamations d’ingénierie sociale depuis le début de la pandémie.

Ce n’est pas seulement le nombre d’attaques qui augmente, mais aussi les enjeux. Un rapport de 2021 de Palo Alto Networks estime que la rançon moyenne payée en 2020 était de plus de 300 000 $, soit une augmentation de plus de 170 % d’une année sur l’autre.

Lorsqu’une organisation est la proie de la cybercriminalité, la rançon n’est qu’une composante du coût financier. Il existe également des dépenses de remédiation, notamment des commandes perdues, des temps d’arrêt de l’entreprise, des frais de conseil et d’autres dépenses imprévues.

Le rapport State of Ransomware 2021 de Sophos a révélé que le coût total de la correction d’une attaque de ransomware pour une entreprise s’élevait en moyenne à 1,85 million de dollars en 2021, contre 761 000 dollars en 2020.

De nombreuses entreprises souscrivent désormais une cyber-assurance pour se protéger financièrement. Mais à mesure que les réclamations d’assurance contre les ransomwares augmentent, le secteur de l’assurance fait également face aux retombées.

À l’échelle mondiale, le prix de la cyber-assurance a augmenté de 32 %, selon un nouveau rapport de Howden, un courtier d’assurance international. Cette augmentation est probablement due au coût croissant que ces attaques entraînent pour les assureurs.

Une police d’assurance cyber couvre généralement la responsabilité d’une entreprise en cas de violation de données, comme les dépenses (c’est-à-dire les paiements de rançon) et les frais juridiques. Certaines politiques peuvent également aider à contacter les entreprises clientes qui ont été affectées par la violation et à réparer les systèmes informatiques endommagés.

Les paiements d’assurance cyber représentent désormais plus de 70 % de toutes les primes collectées, ce qui constitue le seuil de rentabilité pour les fournisseurs.

« Nous avons remarqué que les cyber-assureurs paient des rançons au nom de leurs clients. Cela me semble être une mauvaise idée, car cela ne fera que conduire à plus d’attaques de rançon », déclare Maris. « Cela dit, je comprends parfaitement l’argument : soit l’entreprise paie, soit elle ferme ses portes. Seul le temps nous dira si investir dans le paiement de rançons plutôt que dans une cybersécurité appropriée est une stratégie de survie viable. »

Adopteurs précoces

Le cheval de Troie AIDS, ou cheval de Troie PC Cyborg, est la première attaque de ransomware connue.

L’attaque a commencé en 1989 lorsqu’un chercheur sur le SIDA a distribué des milliers de copies d’une disquette contenant des logiciels malveillants. Lorsque les gens utilisaient la disquette, elle cryptait les fichiers de l’ordinateur avec un message exigeant un paiement envoyé à une boîte postale au Panama.

Bitcoin n’arriverait que près de deux décennies plus tard.

En 2009, le mystérieux fondateur de Bitcoin, Satoshi Nakamoto, a créé le réseau blockchain en exploitant le premier bloc de la chaîne – le bloc de genèse.

Bitcoin a été rapidement adopté comme monnaie de référence pour le dark web. Bien qu’on ne sache pas exactement quand Bitcoin est devenu populaire dans les attaques de ransomware, l’attaque CryptoLocker de 2013 a définitivement mis Bitcoin à l’honneur.

CryptoLocker a infecté plus de 250 000 ordinateurs en quelques mois. Les criminels ont emporté environ 3 millions de dollars en Bitcoin et des bons prépayés. Il a fallu une opération coordonnée au niveau international pour mettre le ransomware hors ligne en 2014.

Depuis lors, Bitcoin s’est rapproché du grand public et les attaques de ransomware sont devenues beaucoup plus faciles à mener.

Les premiers attaquants de ransomware devaient généralement développer eux-mêmes des programmes malveillants. De nos jours, les ransomwares peuvent être achetés en tant que service, tout comme les autres logiciels.

Le ransomware-as-a-service permet aux criminels avec peu de savoir-faire technique de « louer » un ransomware à un fournisseur, qui peut être rapidement utilisé contre les victimes. Ensuite, si le travail réussit, le fournisseur de ransomware obtient une réduction.

Législation future

À la lumière des récentes attaques de ransomware très médiatisées, les appels à une nouvelle législation se multiplient à Washington.

Le président Joe Biden a publié un décret en mai « sur l’amélioration de la cybersécurité du pays ». Le décret vise à renforcer la réponse du gouvernement fédéral à la cybercriminalité, et il semble qu’une nouvelle législation soit en cours.

La loi internationale sur la prévention de la cybercriminalité a été récemment introduite par un groupe bipartite de sénateurs. Le projet de loi vise à augmenter les sanctions pour les cyberattaques qui affectent les infrastructures critiques, de sorte que le ministère de la Justice aurait plus de facilité à inculper les criminels dans les pays étrangers en vertu de la nouvelle loi.

Les États prennent également leur propre position contre la cybercriminalité : quatre États ont proposé une législation interdisant les paiements par ransomware. La Caroline du Nord, la Pennsylvanie et le Texas envisagent tous de nouvelles lois qui interdiraient l’utilisation de l’argent des contribuables pour le paiement de rançons. La loi de New York va encore plus loin et pourrait carrément interdire aux entreprises privées de payer des rançons pour cybercriminalité.

« Je pense que le concept de ce qu’est la crypto-monnaie et de son fonctionnement est quelque chose que la plupart des organes législatifs du monde entier ont du mal à comprendre », a déclaré Evans. « Il est difficile de légiférer sur ce que nous ne comprenons pas vraiment. »