Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Appliquer les stratégies de lutte contre le terrorisme aux ransomwares

juillet 2021 par Chainalysis

En juin 2021, les Etats-Unis ont annoncé vouloir traiter les attaques par ransomware comme des cas de terrorisme. D’autres dirigeants se sont également exprimés sur la menace que représentent les ransomwares et ont appelé à une action mondiale. Il existe un lien entre le contre-terrorisme et les ransomwares, mais aussi des stratégies efficaces de contre-terrorisme applicables dans la lutte contre les ransomwares.

Il n’est pas surprenant que les responsables gouvernementaux établissent ces comparaisons étant donné la portée de la menace croissante des ransomwares. D’après notre analyse des données blockchain, en 2020, les attaquants de ransomware ont réussi à extorquer au moins 412 millions de dollars aux organisations victimes, soit plus de quatre fois plus qu’en 2019. Les attaquants ne ralentissent pas cette année, et ont déjà perçu plus de 127 millions de dollars en 2021 au 28 mai. Le coût réel des rançons est probablement beaucoup plus élevé étant donné que toutes les attaques par ransomwares ne sont pas déclarées, sans parler du coût de la reconstruction après les attaques.

Bien sûr, comme pour le terrorisme, les enjeux des ransomwares vont bien au-delà des pertes financières et de l’interruption des activités. Les attaquants ciblent fréquemment les institutions gouvernementales et les organisations associées aux infrastructures critiques dont nous dépendons tous, notamment les banques, les hôpitaux, et les entreprises alimentaires, ce qui peut entraîner des pertes de vies humaines, directement ou indirectement. À l’instar des terroristes, les attaquants de ransomware exploitent la peur, le chaos et les perturbations pour terroriser et contraindre leurs victimes à atteindre leurs objectifs.

Cependant, les parallèles entre les ransomwares et le terrorisme s’étendent aussi aux solutions. En effet, les gouvernements et le secteur privé se doivent d’augmenter les ressources consacrées à la lutte contre cette menace et de trouver des moyens plus efficaces de collaborer. Ces efforts combinés serviront à perturber les réseaux, à diminuer la capacité des attaquants à mener de nouvelles attaques et les dissuadera de se livrer à des activités illicites.

Augmenter le coût des attaques par ransomware

À l’heure actuelle, de nombreux hackers agissent en toute impunité car les récompenses sont plus importantes que les coûts. Nous devons trouver des moyens efficaces de dissuader les futurs auteurs de ransomware et d’augmenter les coûts physiques et financiers pour ceux qui mènent ou facilitent une attaque par ransomware. Tant que cette équation ne changera pas, les attaques par ransomware risquent de se multiplier.

Les attaquants peuvent gagner des millions de dollars s’ils parviennent à cibler la bonne organisation. La plupart de ceux qui sont à l’origine des plus grandes souches de ransomware opèrent dans des pays, comme la Russie et l’Iran, où ils ne risquent pas de subir les conséquences de leurs actes, même s’ils sont identifiés. Une attaque réussie permet de financer l’attaque suivante et le cycle d’exploitation se répète avec une vitesse, un volume et des conséquences croissants. En outre, ces attaques servent à saper et à diminuer la confiance dans la capacité du gouvernement et du secteur privé à nous protéger et à sauvegarder nos informations. Par ailleurs, l’évolution d’une chaîne d’approvisionnement sophistiquée consacrée aux ransomwares signifie qu’il n’a jamais été aussi facile de mener une attaque.

Le modèle "ransomware-as-a-service" (RaaS) permet à des cybercriminels relativement peu avertis de "louer" l’accès à des souches de ransomware de premier ordre en échange d’une petite part des fonds extorqués. L’abondance de fournisseurs tiers prêts à vendre l’infrastructure technique servant aux attaques par ransomware fait de ces dernières un crime étonnamment facile et peu coûteux. La capacité de mener des campagnes réussies sont désormais à la portée de beaucoup.

La situation est quelque peu analogue à celle du terrorisme même si les motivations sont différentes - la plupart des terroristes sont animés par une idéologie contrairement aux attaquants de ransomware qui prétendent ne vouloir que de l’argent. Comme les attaquants de ransomware, les terroristes ont toujours compté sur la surprise, les facilitateurs tiers et les juridictions laxistes pour réussir leurs opérations. L’obtention de renseignements anticipés sur les complots terroristes, l’identification des auteurs terroristes, la perturbation de ces réseaux de facilitation et l’élimination des refuges ont permis aux pays non seulement de tenir les terroristes pour responsables, mais aussi de prévenir de nouvelles attaques. Les arrestations, les saisies et les poursuites judiciaires ont eu un impact. Ensemble, ces actions ont permis d’augmenter le coût global des actions de terrorisme au point que certaines attaques n’étaient plus viables. Il en va de même pour les ransomwares.

Trop peu d’organisations disposent des données, des outils et des capacités nécessaires pour enquêter efficacement sur les ransomwares. Pourtant, la chaîne d’approvisionnement de tiers qui a rendu les attaques par ransomware si faciles à réaliser représente la plus grande vulnérabilité des ransomwares.

Les individus qui constituent ce réseau de chaîne d’approvisionnement sont situés dans le monde entier, ce qui les rend également de plus en plus vulnérables au ciblage et aux perturbations. Par exemple, les développeurs de ransomware s’appuient sur des affiliés pour mener des attaques à l’aide de leurs logiciels. Mais contrairement aux développeurs eux-mêmes, les affiliés peuvent être situés n’importe où et ne sont généralement pas tous regroupés dans des juridictions peu coopératives. Alors que les opérateurs de la célèbre souche de ransomware NetWalker, aujourd’hui disparue, étaient censés être situés en Russie, l’un de ses affiliés les plus prolifiques était un ressortissant canadien. En janvier 2021, les autorités sont parvenues à l’arrêter et à mettre fin à l’ensemble des activités de la souche à l’échelle mondiale. Après une extorsion réussie, les attaquants de ransomware doivent essayer de déplacer les cryptomonnaies volées vers un endroit où elles peuvent être stockées à l’abri des saisies ou converties en monnaie fiduciaire. Pour ce faire, ils envoient généralement les fonds à des bourses d’échange de type "Know Your Customer" (KYC) peu conformes ou à des courtiers “de gré à gré” (Over-The-Counter) peu recommandables. Les autorités ont fermé de nombreux services de cryptomonnaies fonctionnant comme des entreprises de services monétaires non enregistrées ou des fournisseurs de services de blanchiment d’argent. Les forces de l’ordre et les régulateurs ont besoin de ressources pour accroître ces efforts. Cela peut également faciliter le recouvrement d’actifs pour les victimes.

La chaîne d’approvisionnement des ransomwares s’étend dans le monde entier, ce qui donne à de nombreux gouvernements la possibilité de perturber les opérations et de suivre l’argent. Il ne faut pas oublier les développeurs de ransomwares et les juridictions laxistes. Les gouvernements doivent chercher des moyens de renforcer les capacités et d’inciter ces juridictions à ne plus laisser les cybercriminels opérer en toute impunité sur leur territoire. Dans certains cas, des actions diplomatiques et des sanctions soutenues seront nécessaires pour avoir un impact sur ces paradis de ransomware.

Toutefois, si l’augmentation du coût des attaques par ransomware est la clé de la prévention, aucun pays, organisme ou entreprise ne peut y parvenir seul. La collaboration est cruciale

Les gouvernements, les forces de l’ordre, les régulateurs, les institutions financières et les entreprises de cryptomonnaies du monde entier doivent travailler ensemble pour adopter les pratiques et les politiques nécessaires pour perturber et augmenter le coût des attaques par ransomware. Les enquêtes, opérations et exercices d’entraînement menés conjointement à l’international ont permis d’améliorer les capacités des forces armées, des services de police et des services de renseignement du monde entier pour de lutter contre le terrorisme. Le partage de renseignements est également clé : les listes internationales de surveillance du terrorisme ont permis aux autorités de partager des informations importantes rapidement et en toute sécurité. Par ailleurs, les entreprises du secteur privé se sont révélées être des alliées précieuses dans les efforts de lutte contre le terrorisme, en particulier dans les domaines du signalement rapide des menaces, de la technologie et de l’analyse des données.

Ces mêmes stratégies peuvent être appliquées aux ransomwares. Prenons par exemple le signalement des menaces et la mise en place des listes de surveillance. Si les gouvernements et les entreprises de cryptomonnaies rassemblaient tous les renseignements dont ils disposent sur les personnes qui exécutent et permettent les attaques par ransomware, ils pourraient constituer une solide bibliothèque listant les opérateurs, affiliés, fournisseurs tiers et prestataires de services de blanchiment d’argent les plus prolifiques, ainsi que les données de cryptomonnaies associées à ces personnes et entités (par exemple, les adresses et les historiques de transactions). Un tel rapport permettrait aux organisations du monde entier de comprendre qui est à l’origine de la plupart des attaques par ransomwares à un moment donné, d’aider toutes les parties à répondre plus rapidement aux attaques et de soutenir les efforts visant à arrêter et à sanctionner les contrevenants.

Les partenariats public-privé sont essentiels, car les gouvernements s’appuieront sur les fournisseurs d’analyses de la blockchain et les entreprises de cybersécurité pour obtenir une grande partie des données dont ils auraient besoin pour établir une liste de surveillance des ransomwares et des normes partagées.

Les ransomwares existaient avant l’avènement des cryptomonnaies, mais celles-ci sont devenues la principale méthode choisie par les cybercriminels pour financer leurs opérations et payer d’autres personnes pour leurs services de soutien illicites. Par conséquent, l’analyse de la blockchain pour les cryptomonnaies devient l’ensemble de données qui permet aux enquêteurs d’identifier les auteurs et le réseau mondial de la chaîne d’approvisionnement des ransomwares. Il est essentiel, pour toute stratégie de lutte contre les ransomwares, d’élever le niveau de connaissances en matière de cybercriminalité, de cryptomonnaies et de capacités d’enquête parmi les partenaires des secteurs public et privé.

Ces dernières années, les organismes fédéraux chargés de l’application de la loi ont fait d’énormes progrès dans leur capacité à enquêter sur les crimes liés aux cryptomonnaies. Mais si les ransomwares peuvent être menés à l’échelle mondiale, leur impact se fait sentir au niveau local. La prochaine étape consiste à fournir une formation des ressources et un renforcement des ressources, aux niveaux mondial, national, régional et local, afin que l’ensemble des autorités puissent se joindre à la lutte pour répondre efficacement aux ransomwares et les combattre.




Voir les articles précédents

    

Voir les articles suivants