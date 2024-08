Ransomware : Le cafard des malwares

août 2024 par Morgan Wright, Chief Security Advisor chez SentinelOne

Le ransomware a été piétiné, écrasé, pulvérisé, attaqué et soumis à toutes les formes connues d’analyse et d’évaluation. Pourtant, tel le cafard, il a survécu aux meilleures tentatives d’éradication. L’évolution constante des jeux du chat et de la souris dans le cyberespace est le reflet d’une menace réelle, et pas seulement d’une menace perçue. Si les objectifs des ransomwares restent les mêmes (l’extorsion d’argent), les tactiques et les outils utilisés ont considérablement évolué. L’IA a permis de créer des outils puissants pour contrecarrer ces attaques persistantes, mais tout le monde n’est pas suffisamment équipé pour y faire face.

Ainsi, FIN7, apparu en 2012, est passé du statut de simple groupe cybercriminel à celui de menace mondiale. Il a utilisé des techniques sophistiquées pour leurrer les chercheurs en sécurité et faciliter de nouvelles attaques (EDR evasion). Nous avons également assisté à une collaboration entre de multiples groupes cybercriminels transnationaux, ce qui a élargi la portée et l’impact des attaques par ransomware. La motivation première a toujours été le gain financier et un nouveau seuil a été atteint l’année passée avec plus d’un milliard de dollars de rançons versé et un coût moyen par attaque de 5 millions de dollars.

Toutefois, appliquées de manière cohérente et proactive, deux stratégies pourraient potentiellement mettre un frein aux ransomwares : l’application de la loi et la technologie.

Du côté législatif, les autorités du monde entier ont mis trop de temps à réagir, à enquêter et à identifier les groupes criminels transnationaux menant des attaques ransomwares. Par ailleurs, d’importants problèmes juridictionnels ont empêché de mener à bien les enquêtes.

Ainsi, les États-Unis ont conclu un traité d’entraide judiciaire avec la Fédération de Russie. En théorie, ce traité prévoit une coopération dans 8 domaines spécifiques, notamment "la localisation et l’immobilisation d’actifs à des fins de confiscation, de restitution ou de recouvrement d’amendes...". L’un des délits pour lesquels l’assistance est obligatoire est la "fraude et les activités connexes liées aux ordinateurs".

Un rapport de 2021 de Chainalysis a analysé les paiements de ransomware dans le monde entier et il apparait "qu’environ 74 % des revenus des ransomwares en 2021, soit plus de 400 millions de dollars en crypto-monnaie, sont allés à des souches dont nous pouvons dire qu’elles sont très probablement affiliées à la Russie d’une manière ou d’une autre."

Actuellement, des dizaines d’inculpations ont été prononcées à l’encontre de criminels et d’agents de renseignement russes. Toutefois, malgré le traité multilatéral d’entraide judiciaire (MLAT), la Russie refuse de coopérer aux enquêtes sur ses services de renseignement et d’extrader ses ressortissants. En effet, les attaques par procuration contre des infrastructures critiques étrangères servent les objectifs nationaux du gouvernement russe.

Le manque de coopération et le refus de saisir les biens des criminels alimentent de nouvelles attaques. Dès que des groupes de cybercriminels comme Hive par exemple, sont démantelés, trois autres prennent leur place.

C’est là que la 2ème stratégie intervient : la technologie. L’utilisation de l’IA a accéléré la capacité à prévenir les attaques par ransomware. L’édification d’un mur économique, brique par brique, grâce à la superposition de technologies avancées, a augmenté les coûts des attaques pour les cybercriminels, qui se doivent aussi de tenir leur budget. Plus ces groupes sont amenés à investir de gros montants pour lancer leurs attaques, plus ceux qui sont les moins capitalisés seront exclus du marché.

Cette approche n’aura l’impact nécessaire que si les secteurs public et privé modernisent leurs défenses et intègrent l’IA dans leurs solutions.

La deuxième partie de la stratégie dépend entièrement de la coopération internationale des gouvernements. Il s’agit de changer la politique sur la transparence des mouvements de crypto-monnaies. Les groupes de ransomware seront bloqués le jour où les transactions en crypto-monnaies ne seront plus anonymes et pourront être tracées aussi facilement qu’une carte de crédit.

La seule raison d’être des ransomwares est la possibilité d’extorquer de grosses sommes d’argent de manière anonyme. Sans la protection de la vie privée inhérente au système, les forces de l’ordre pourront arrêter les hackers.

Même si les politiques et la technologie éradiquaient les ransomwares, il resterait suffisamment de menaces pour que les entreprises et les professionnels de la cybersécurité soient plus occupés que jamais. L’application de la loi, aussi étendue soit-elle, continuera à faire les gros titres mais n’aura que peu d’impact à long terme.

Quant aux changements de politique, tant que les incitations financières ne seront pas supprimées, les ransomwares seront aussi difficiles à tuer qu’un cafard ayant survécu à une explosion nucléaire. L’IA est le dernier rempart qui sépare un monde ordonné et sûr d’un monde chaotique.