Obtenez des informations exclusives d’un véritable négociateur de ransomwares qui partage des histoires authentiques de situations d’otages sur le réseau et comment il les a gérées.
L’industrie des rançongiciels
Les ransomwares sont une industrie. A ce titre, il a sa propre logique métier : les organisations paient de l’argent, en crypto-monnaie, afin de reprendre le contrôle de leurs systèmes et de leurs données.
Le paysage de cette industrie est composé d’environ 10 à 20 principaux acteurs de la menace qui ont initialement développé le malware du ransomware. Pour distribuer le logiciel malveillant, ils travaillent avec des affiliés et des distributeurs qui utilisent largement attaques de phishing violer les organisations. Les bénéfices sont distribués avec environ 70% alloués aux affiliés et 10% à 30% à ces développeurs. L’utilisation du phishing rend les industries en ligne, comme les jeux, la finance et l’assurance, particulièrement vulnérables.
En plus de ses motivations financières, l’industrie des rançongiciels est également influencée par la politique géopolitique. Par exemple, en juin 2021, à la suite des attaques de ransomwares contre le Colonial Pipeline et JBS, l’administration Byden a annoncé que les ransomwares constituaient une menace pour la sécurité nationale. L’administration a ensuite listé les infrastructures critiques qui étaient « hors limites » pour les attaquants.
Suite à ces étapes, un certain nombre d’acteurs de la menace ont décidé de changer de cap : déclarant qu’ils n’attaqueraient pas les organisations essentielles et fondamentales comme les hôpitaux, les centrales électriques et les établissements d’enseignement. Quelques mois plus tard, le FBI a signalé qu’il avait attaqué l’important groupe de rançongiciels REvil :
L’attaque a suscité une réponse du groupe Conti, qui reflétait leurs motivations idéologiques :
Vaccinations contre les rançongiciels
La gestion d’un événement de ransomware est similaire à la gestion d’une prise d’otage. Par conséquent, pour se préparer à un incident de ransomware, il est recommandé aux organisations d’employer une structure de gestion de crise similaire. Cette structure est basée sur les fonctions suivantes :
1. Un gestionnaire de crise :
- Coordonne les pistes technologiques, commerciales et juridiques.
- La piste technologique comprend la criminalistique, l’enquête, le confinement, la remédiation et la récupération, ainsi que le dialogue professionnel. À ce stade, l’organisation et les équipes d’intervention évaluent l’ampleur de l’événement. Par exemple, la profondeur des attaquants dans le système, la quantité de données exfiltrées, etc.
- La piste commerciale couvre les plans de continuité des activités, les médias et les relations publiques. Ceux-ci sont généralement exécutés une fois que la portée de l’événement est claire. Il est recommandé d’être aussi transparent et précis que possible lors de la publication de déclarations publiques.
- La voie juridique comprend des considérations juridiques, réglementaires et de conformité. Ils suivent quelles directives doivent être respectées et dans quels délais. Parfois, ils seront aussi les gestionnaires de crise.
- Le gestionnaire de crise ne peut pas être le décideur.
2. Un groupe décisionnel :
- Le groupe ou la personne qui prend des décisions éclairées sur la base des données du gestionnaire de crise.
3. Application de la loi :
- Il est recommandé de définir cette relation à l’avance. L’étendue pourrait être aussi minime que de simplement les informer et aussi profonde que de leur permettre de gérer l’ensemble de la crise.
4. Assurance :
Selon Etay Maor, directeur principal de la stratégie de sécurité chez Réseaux Cato« Nous voyons de plus en plus d’entreprises proposer des offres groupées de ces services de rançongiciels. Cependant, il est recommandé de séparer ces rôles pour garantir la réponse la plus professionnelle. »
Le rôle du négociateur professionnel
La négociation professionnelle est le fait de profiter de la communication professionnelle avec le pirate informatique dans diverses situations d’extorsion. Le rôle comprend quatre éléments clés :
1. Identifier la portée de l’événement – A lieu dans les premières 24 à 48 heures. Comprend la compréhension de ce qui a été compromis, la profondeur des attaquants dans le système, si l’acte est un simple, double ou triple ransomware, si l’attaque était motivée par des raisons financières ou s’il s’agissait d’une attaque politique ou personnelle, etc.
Dans 90% des cas, l’attaque est financièrement motivée. Si elles sont politiquement motivées, les informations peuvent ne pas être récupérées, même après avoir payé la rançon.
2. Profilage de l’auteur de la menace – Comprend la compréhension si le groupe est connu ou inconnu, leurs modèles de comportement et leur structure organisationnelle. Comprendre qui est l’agresseur influence la communication.
Par exemple, en découvrant l’heure locale de l’attaquant, le négociateur peut identifier d’où il vient. Cela peut être utilisé pour améliorer les conditions de négociation, comme tirer parti des jours fériés pour demander une remise.
3. Évaluer le « coût de l’absence d’accord » – Réfléchir aux décideurs et aux gestionnaires de crise sur ce qui se passera s’ils ne paient pas la rançon.
4. Définir les objectifs de négociation – La question n’est pas de payer ou non. C’est une décision d’affaires. Les objectifs des négociations sont de négocier pour obtenir des informations, du temps et de meilleures conditions. Parfois, cela peut se traduire par un paiement moins élevé, voire même permettre à l’entreprise de se redresser par elle-même.
Par exemple, une entreprise a pu acheter 13 jours par le biais de négociations, ce qui lui a permis de récupérer ses informations et de renoncer complètement à payer la rançon.
Payer ou ne pas payer?
Etay Maor commente : « Le ransomware n’est pas un problème informatique, c’est un problème commercial. » La décision de payer ou non est une décision commerciale, influencée par de nombreux facteurs. Alors que la politique officielle du FBI est de ne pas payer, ils permettent aux entreprises de le faire, si le PDG le décide.
Par exemple, dans un cas, une société de jeux en ligne perdait plus d’argent que la demande de rançon chaque heure où ses opérations étaient interrompues, influençant sa décision de payer la rançon le plus rapidement possible tout en minimisant le temps de négociation. Les législateurs américains n’ont pas non plus interdit le paiement des rançongiciels. Cela montre à quel point le problème est compliqué.
Conseils pour se protéger contre les attaques de ransomwares
Les ransomwares deviennent de plus en plus importants, mais les organisations peuvent s’en protéger. Les ransomwares reposent sur des attaques de phishing et des services non corrigés. Par conséquent, il est recommandé aux PDG de rencontrer régulièrement leur équipe informatique pour s’assurer que les logiciels et l’infrastructure sont corrigés et à jour et que toutes les informations importantes sont sauvegardées. Cela réduira considérablement le risque que les rançongiciels puissent exploiter les vulnérabilités et pénétrer les systèmes.
Pour en savoir plus sur les attaques de ransomwares et leur gestion en temps réel, regardez l’intégralité de la masterclass ici.