Les entreprises négligentes sont rapidement punies triplement : d'abord l'extorsion de ransomware, puis la perte de données, et enfin et surtout, la pénalité pour un mauvais plan de récupération. C'est ainsi que les rançongiciels complexes peuvent envahir les ressources de l'entreprise.
L'année dernière, un rançongiciel a mis à genoux une entreprise américaine qui produit du carburant. Derrière cela se trouvaient des "sociétés partenaires" criminelles du célèbre groupe DarkSide. Exemple typique d'attaque RaaS (ransomware as a service) : une petite équipe de criminels développe des logiciels malveillants, les met à la disposition d'autres malfaiteurs et gère les rançons des victimes. Cependant, ils n'effectuent pas l'attaque proprement dite sur le réseau qui diffuse le logiciel malveillant. Leurs "partenaires dans le crime" s'en occupent, pour ainsi dire, le personnel de terrain. En règle générale, ils reçoivent en retour la part du lion de l'argent extorqué aux victimes.
RaaS : Partenaires dans le crime avec les ransomwares
Le groupe central, quant à lui, se cache invisiblement en arrière-plan, gérant une sorte d'opération de franchise où il empoche généralement 30% (de son propre aveu) de chaque paiement.
L'équipe de première ligne fait généralement cela
- Menez des recherches pour trouver des cibles potentielles dans lesquelles pénétrer.
- Entrez dans des entreprises sélectionnées avec des vulnérabilités connues.
- Analysez le réseau jusqu'à ce qu'ils obtiennent les droits d'administration pour accéder au niveau des administrateurs officiels.
- Mappez l'ensemble du réseau pour trouver chaque PC de bureau individuel et les systèmes de serveur.
- Localisez et souvent neutralisez les sauvegardes existantes.
- Exfiltrer les données confidentielles de l'entreprise pour un effet de levier supplémentaire dans le chantage.
- Préparez les portes dérobées du réseau pour une retraite rapide si les attaquants sont pris.
- Examinez attentivement les défenses existantes contre les logiciels malveillants, en recherchant les points faibles ou vulnérables.
- Désactivez ou au moins réduisez les paramètres de sécurité qui vous gênent.
- Sélection d'un moment de la journée particulièrement "inconfortable" pour l'entreprise, c'est-à-dire le week-end ou la nuit.
Et puis les cybercriminels libèrent le code du rançongiciel fourni par le cerveau dans les coulisses. Le cryptage de (presque) tous les ordinateurs du réseau ne prend alors que quelques minutes.
Rançongiciels : Veuillez payer !
L'idée derrière ce type d'attaque est que les ordinateurs ne sont pas complètement effacés. En fait, après la plupart des attaques de rançongiciels, les systèmes d'exploitation continuent de démarrer et de charger les applications principales sur les ordinateurs pour garder l'apparence que tout est normal.
La victime peut démarrer son ordinateur portable, charger Word, voir tous les documents dans les répertoires, voire essayer de les ouvrir, mais verra alors l'équivalent numérique d'un chou râpé. Les données sont cryptées et il n'y a qu'une seule copie de la clé de décryptage - et les attaquants l'ont. C'est à ce moment que les « négociations » commencent généralement. Les criminels s'appuient sur le fait que l'infrastructure informatique de la victime est si gravement affectée par les données cryptées qu'elle n'est plus fonctionnelle, et la victime est donc prête à payer une rançon.
« Payez-nous des « frais de récupération » et nous vous fournirons les outils de décryptage pour rendre à nouveau utilisable n'importe quel ordinateur - et nous vous ferons gagner du temps pour restaurer à partir de sauvegardes. Tant que vous avez des sauvegardes fonctionnelles. » Les demandes ressemblent à ceci, car elles sont arrivées à la société américaine il y a environ 12 mois, par exemple.
Seuls 4 % des payeurs récupèrent toutes les données !
Même si les forces de l'ordre du monde entier exhortent les victimes de ransomwares à ne pas payer (et nous savons maintenant que les paiements de ransomware d'aujourd'hui financent les attaques de ransomware de demain), dans cet exemple, la société a décidé de dépenser les quelque 4,4 millions de dollars demandés pour transférer des bitcoins.
Cette année Rapport Sophos sur les ransomwares État des ransomwares 2022 révèle que seuls 4 % des payeurs dans le monde récupèrent toutes leurs données. En moyenne, vous n'obtenez que les deux tiers (exactement : 60,56 %). En Allemagne, la proportion est de 64 %. D'un point de vue global, cette valeur n'est que légèrement supérieure pour les fournisseurs d'énergie à 62 % (exactement : 61,59 %). Cela signifie que si une entreprise paie la rançon, elle doit encore accepter des pertes de données très élevées. En aucun cas l'affaire ne s'arrête là.
Après la rançon vient l'amende
Sophos State of Ransomware 2022 (Image : Sophos).
Un appel officiel a également été lancé à l'opérateur du pipeline : le département américain des transports a imposé une amende civile de près d'un million de dollars américains à l'entreprise, résultat d'une enquête de la Pipeline and Hazardous Materials Safety Administration (PHMSA). La vérification s'est déroulée entre janvier et novembre 1, c'est-à-dire dans l'année AVANT l'attaque du ransomware. Donc, les problèmes que l'institut a identifiés existaient et étaient connus. La PHMSA a déclaré que les principales lacunes opérationnelles responsables de plus de 2020 % de la charge (85 846,300 $) "constituent probablement un échec à planifier et à préparer de manière adéquate l'arrêt et le redémarrage manuels de son système de pipelines". Et elle affirme que ces omissions "ont contribué aux retombées nationales lorsque le pipeline est resté inopérant après la cyberattaque de mai 2021".
Cas particulier ou ligne de conduite recommandée pour tous ?
À première vue, cela ressemble à un cas inhabituel, car qui exploite réellement un pipeline, et puis aussi dans cette dimension. Néanmoins, l'avis officiel PHMSA d'une infraction probable identifie quelques problèmes connexes dont tous peuvent tirer des leçons :
Pour l'exploitant du pipeline, les problèmes résidaient dans les domaines internes de l'entreprise, tels que le contrôle de surveillance et l'acquisition de données, les systèmes de contrôle industriel et la technologie opérationnelle, le soi-disant SCADA (Supervisory Control and Data Acquisition): système informatique qui surveille et contrôle automatiquement processus techniques et des fournisseurs d'énergie à est utilisé dans les aéroports. ICS (un acronyme pour Industrial Control Systems) et OT (Operational Technology) faisaient également défaut. L'OT peut être compris comme un pendant industriel de l'IT, mais les SecOps (Security Operations) représentent un défi similaire pour les deux types.
Conséquences des erreurs SecOps
Même si la technologie opérationnelle et les fonctions informatiques apparaissent comme deux réseaux distincts, les conséquences possibles des défaillances SecOps dans un domaine peuvent affecter directement et même dangereusement l'autre domaine.
Plus important encore, en particulier pour de nombreuses petites entreprises, même s'il n'y a pas de pipeline, de réseau électrique ou de centrale électrique en fonctionnement, il existe très probablement encore une sorte de réseau d'ingénierie opérationnel, composé d'appareils IoT tels que des caméras de sécurité, des serrures de porte, des mouvements capteurs, et peut-être même un aquarium apaisant contrôlé par ordinateur dans la zone de réception.
Et ceux-ci sont généralement exploités dans le même réseau dans lequel se trouve l'ensemble du système informatique. Les mesures de cybersécurité des deux types d'appareils sont donc inextricablement liées.
Cinq points que chaque entreprise devrait prendre au sérieux
Le rapport PHMSA répertorie les problèmes qui relèvent tous du terme générique de gestion de la salle de contrôle, qui peut être considéré comme l'équivalent technologique opérationnel du centre d'opérations réseau d'un service informatique (ou simplement « l'équipe informatique » dans une petite entreprise).
En résumé, ces cinq problèmes sont en jeu
- Défaut de tenir un registre approprié des tests opérationnels réussis.
- Défaut de tester et de vérifier le fonctionnement des détecteurs d'alarmes et d'anomalies.
- Aucun plan d'urgence pour la récupération manuelle et le fonctionnement en cas de panne du système.
- Ne pas tester les processus et procédures de sauvegarde.
- Mauvais signalement des contrôles de sécurité manquants ou temporairement supprimés.
Que pouvons-nous en apprendre pour notre sécurité informatique ?
Chacune des omissions ci-dessus peut se produire accidentellement. Selon le Sophos Ransomware Report 2022, les deux tiers (exactement : 66 %) des personnes interrogées ont déclaré avoir été victimes d'une attaque par ransomware au cours de l'année écoulée. Le secteur de la fourniture d'énergie était même bien au-dessus de la moyenne à 75 %. Environ les deux tiers d'entre eux ont vu leurs données cryptées et la moitié d'entre eux ont négocié avec les criminels.
Cela suggère qu'une proportion importante (un peu plus d'un sur cinq) des équipes informatiques ou SecOps ont perdu la trace d'une ou plusieurs des catégories ci-dessus.
Ceux-ci incluent les éléments 1 et 2 (Êtes-vous sûr que la sauvegarde a réellement fonctionné ? L'avez-vous enregistré formellement ?), L'élément 3 (Quel est votre plan B si les criminels suppriment votre sauvegarde principale ?), L'élément 4 (Avez-vous pratiqué la restauration aussi soigneusement pendant que vous pratiquiez la sauvegarde ?) et le point 5 (Êtes-vous sûr de n'avoir rien manqué de ce que vous auriez dû signaler à l'époque ?).
Pour de nombreuses équipes informatiques ou en particulier pour les petites entreprises qui font de l'informatique "à côté", une équipe SecOps spécialisée est un luxe et tout simplement pas abordable, de sorte que la stratégie équivaut souvent à un principe "installer puis oublier". Toute personne dans cette situation devrait rechercher le soutien d'experts MTR externes et les considérer comme un investissement dans un avenir plus sûr.
La cybersécurité est un processus, pas une destination. Une attaque réussie laisse toujours des dégâts et a des séquelles sur les ressources et l'opérabilité. La force de l'impact dépend fortement de la vitesse de réaction, des précautions et du processus de sécurité en place.
Plus sur Sophos.com