Près d’une semaine après une attaque de ransomware menée par Colonial Pipeline à arrêter la distribution de carburant sur la côte Est, des rapports ont émergé vendredi que la société a payé une rançon de 75 bitcoins – d’une valeur pouvant aller jusqu’à 5 millions de dollars, selon l’heure du paiement – dans le but de rétablir le service plus rapidement. Et tandis que l’entreprise était en mesure de redémarrage des opérations mercredi soir, la décision de céder aux demandes des hackers ne fera qu’enhardir d’autres groupes à l’avenir. Selon les experts, de réels progrès contre l’épidémie de ransomwares obligeront davantage d’entreprises à dire non.
Cela ne veut pas dire que cela soit facile. Le FBI et d’autres groupes d’application de la loi ont depuis longtemps découragé les victimes de ransomware de payer des frais d’extorsion numérique, mais dans la pratique, de nombreuses organisations ont recours au paiement. Soit ils n’ont pas les sauvegardes et autres infrastructures nécessaires pour récupérer autrement, ne peuvent pas ou ne veulent pas prendre le temps de récupérer par eux-mêmes, ou décident qu’il est moins cher de simplement payer tranquillement la rançon et de passer à autre chose. Groupes de ransomwares contrôler de plus en plus les finances de leurs victimes avant de jeter leurs pièges, ce qui leur permet de fixer le prix le plus élevé possible que leurs victimes peuvent encore se permettre.
Dans le cas de Colonial Pipeline, le groupe de rançongiciels DarkSide a attaqué le réseau commercial de l’entreprise plutôt que les réseaux technologiques opérationnels plus sensibles qui contrôlent le pipeline. Mais Colonial a également supprimé son réseau OT pour tenter de contenir les dégâts, augmentant la pression pour résoudre le problème et reprendre le flux de carburant le long de la côte Est. Un autre facteur potentiel dans la décision, premier signalé par Zero Day, était que le système de facturation de l’entreprise avait été infecté par un ransomware, il n’avait donc aucun moyen de suivre la distribution de carburant et de facturer les clients.
Les partisans de la tolérance zéro pour les paiements de rançon espéraient que la fermeture proactive de Colonial Pipeline était un signe que l’entreprise refuserait de payer. Rapports mercredi a indiqué que la société avait un plan pour tenir le coup, mais de nombreux rapports ultérieurs jeudi, dirigé par Bloomberg, a confirmé que la rançon de 75 bitcoins avait été payée. Colonial Pipeline n’a pas retourné de demande de commentaire de WIRED au sujet du paiement. On ne sait toujours pas si l’entreprise a payé la rançon peu de temps après l’attaque ou quelques jours plus tard, car les prix du carburant ont augmenté et les conduites dans les stations-service ont augmenté.
«Je ne peux pas dire que je suis surpris, mais c’est certainement décevant», déclare Brett Callow, analyste des menaces chez la société d’antivirus Emsisoft. « Malheureusement, cela contribuera à maintenir les fournisseurs d’infrastructures critiques des États-Unis dans la ligne de mire. Si un secteur s’avère rentable, ils continueront de le frapper. »
Dans un briefing jeudi, l’attachée de presse de la Maison Blanche, Jen Pskai, a souligné en général que le gouvernement américain encourage les victimes à ne pas payer. D’autres membres de l’administration ont frappé une note plus mesurée. « Colonial est une société privée et nous différerons les informations concernant leur décision de leur verser une rançon », a déclaré lundi Anne Neuberger, conseillère adjointe à la sécurité nationale pour les cyber-technologies et les technologies émergentes. Elle a ajouté que les victimes de ransomware « sont confrontées à une situation très difficile et qu’elles [often] doivent juste équilibrer les coûts-avantages quand ils n’ont pas le choix en ce qui concerne le paiement d’une rançon. «
Les chercheurs et les décideurs ont eu du mal à produire des conseils complets sur les paiements de rançon. Si chaque victime dans le monde cessait soudainement de payer des rançons et tenait ferme, les attaques cesseraient rapidement, car il n’y aurait aucune incitation pour les criminels à continuer. Mais la coordination d’un boycott obligatoire semble irréalisable, selon les chercheurs, et entraînerait probablement davantage de paiements en secret. Quand le gang des ransomwares Evil Corp a attaqué Garmin l’été dernier, l’entreprise payé la rançon par un intermédiaire. Il n’est pas inhabituel que les grandes entreprises utilisent un intermédiaire pour le paiement, mais la situation de Garmin était particulièrement remarquable parce qu’Evil Corp avait été sanctionné par le gouvernement américain.
«Pour certaines organisations, leur entreprise pourrait être complètement détruite si elles ne paient pas la rançon», déclare Katie Nickels, directrice du renseignement de la société de sécurité Red Canary. « Si les paiements ne sont pas autorisés, vous constaterez simplement que les gens sont plus calmes pour effectuer les paiements. »
Fermetures prolongées d’hôpitaux, les infrastructures essentielles et les services municipaux menacent également plus que de simples finances. Lorsque des vies sont littéralement en jeu, une position de principe contre les pirates tombe rapidement hors de la liste des priorités. Nickels elle-même a récemment participé à un effort public-privé visant à créer un système complet basé aux États-Unis. recommandations de ransomware; le groupe n’a pas pu s’entendre sur des orientations définitives sur l’opportunité et le moment de payer.
«Le groupe de travail sur les ransomwares en a longuement discuté», dit-elle. « Il y avait beaucoup de choses importantes sur lesquelles le groupe est parvenu à un consensus et le paiement en était un sur lequel il n’y avait pas de consensus. »
Dans le cadre d’une cybersécurité ordre exécutif signé mercredi par le président Joseph Biden, le département de la sécurité intérieure créera un comité d’examen de la cybersécurité pour enquêter et faire le bilan des cyberattaques «importantes». Cela pourrait au moins aider à effectuer plus de paiements au grand jour, donnant au grand public une idée plus complète de l’ampleur du problème des ransomwares. Mais si le conseil a des incitations à inciter les organisations privées à participer, il peut encore avoir besoin d’une autorité élargie du Congrès pour exiger une transparence totale. Pendant ce temps, les paiements continueront, tout comme les attaques.
« Vous ne devriez pas payer, mais si vous n’avez pas le choix et que vous serez définitivement en faillite, vous allez payer », déclare Adam Meyers, vice-président du renseignement de la société de sécurité CrowdStrike. «Dans mon esprit, la seule chose qui va vraiment conduire le changement, c’est que les organisations ne sont pas arrivées en premier lieu. Lorsque l’argent disparaîtra, ces gars-là trouveront un autre moyen de gagner de l’argent. Et ensuite nous devrons nous en occuper. . «
Pour l’instant, cependant, les ransomwares restent une menace invétérée. Et le paiement de 5 millions de dollars de Colonial Pipeline ne fera que renforcer les cybercriminels.
Cette histoire est apparue à l’origine sur wired.com.