Qu'est-ce que les ransomwares et les grandes entreprises ont en commun?Plus que ce à quoi vous pourriez vous attendre.
Ce n'est pas un glissement au capitalisme ou à la grande technologie.(Il y a beaucoup d'autres endroits que vous pouvez aller pour cela.) Il s'agit simplement d'une reconnaissance de la rapidité.Ils se comportent maintenant plus comme les grandes entreprises qu'ils volent, selon les experts en cybersécurité.
Les gangs de ransomware louent des espaces de bureau IRL, jaillissant pour des graphistes pour embellir leur présence sur le Web public, et même offrir un service client rapide et courtois pour les victimes et les clients. “From the outside [these gangs] look just like some other legit tech company," says Jeremy Kirk, a cybersecurity journalist and host of The Ransomware Files, a podcast dedicated to covering stories of ransomware attacks.
AdvertisementAdvertisementAdvertisementAdvertisement«Beaucoup des groupes de cybercrimins les plus réussis d'aujourd'hui fonctionnent comme des entreprises du Fortune 500, avec des investissements profonds dans la recherche et le développement et la commercialisation de leurs produits et services et des opérations quotidiennes», explique Daniel Clayton de Bitdefender.
Des groupes comme le gang Ransomware FIN8 se sont en fait avérés «plus disciplinés que beaucoup d'équipes d'ingénierie commerciale», explique Clayton, qui a fait des séjours avec l'intelligence britannique et le U.S.Agence de sécurité nationale dans une vie antérieure.Ils utilisent le genre de cadre de développement «agile» vanté dans la Silicon Valley ad nauseum - en cours de mise en ligne pour développer leurs logiciels malveillants, en revenant en ligne pour tester leur produit sur une victime, puis en se retirant dans l'ombre pour élaborer les plis.
Stimulé par la prolifération de la crypto-monnaie et du travail à distance à l'âge covide, le ransomware connaît sa propre grande bulle technologique.Pour se distinguer des concurrents sans scrupules et attirer de plus grands traits, certains des principaux gangs de ransomware ont commencé à autoréguler et à corporatiser leurs opérations au cours des dernières années.Et ça a fonctionné.Soudain, les meilleurs chiens de ces organisations pourraient se permettre de «acheter beaucoup de Lamborghinis et Rolex», explique Evan Wolff, un avocat spécialisé dans les incidents de ransomware.
AdvertisementAdvertisementMais de plus grands jours de paie ont à leur tour attiré plus, souvent moins expérimentés des criminels sur ce marché illicite.En conséquence, les experts avec qui j'ai parlé disent que l'industrie peut être au bord d'une rechute, ce qui pourrait raviver un monde où les attaques proviennent de toutes les directions, et payer une rançon aujourd'hui ne vous tient plus sur une liste de succès demain.Bientôt, nous pouvons désirer le bon vieux temps où les rançonneurs étaient élevés, mais au moins les cybercriminels étaient honnêtes.
Il était une fois, les acteurs du ransomware se contentaient d'une extorsion simple.La pratique du ransomware remonte à la fin des années 80 et est devenue une caractéristique plus courante du paysage cyber-menace dans les années 2000, mais il y a resté des plis qui devaient être élaborés avant que le ransomware ne puisse devenir l'entreprise massivement rentable..Peut-être que le premier signe majeur que l'industrie prenait le développement commercial aussi au sérieux que leurs câpres criminels sont venus en 2015, lorsque l'acteur de menace derrière le ransomware Samsam a commencé à offrir un service client rapide et fiable à ses victimes.Lorsqu'un décrypteur de Samsam n'a pas décrypté un réseau, les victimes recevraient des excuses polies du groupe qui, il y a quelques instants.Un outil entièrement fonctionnel attendrait dans sa boîte aux lettres en ligne le lendemain.Fournir quelque chose qui s'apparente au service client cinq étoiles pour leurs victimes «ont changé le jeu pour les opérateurs de ransomwares», explique Charles Carmakal, CTO de la société de cybersécurité Mandiant.
AdvertisementAdvertisementAdvertisementAdvertisementComme d'autres acteurs de menace l'ont remarqué que cette attitude axée sur le client semblait fonctionner pour Samsam, certains ont commencé à emboîter le pas, selon Carmakal.Maintenant, des groupes comme Conti ont développé une réputation non seulement pour leurs logiciels malveillants déstabilisants, mais aussi pour leurs temps de réponse rapides, explique Evan Wolff.De nombreux gangs de ransomware répondront aux e-mails en quelques minutes ou heures plutôt que de laisser une victime en attente de jours, et Clayton dit que certains «ont même des centres d'appels pour faciliter le paiement."
D'autres gangs, cependant, ont préféré rendre les crimes plus dommageables pour les victimes, plutôt que plus compatibles avec les clients.Les cambriolages numériques précoces n'ont pas pu atteindre leur plein potentiel en s'appuyant uniquement sur le chiffrement du réseau, car cela a laissé les joyaux de la couronne de la forteresse informatisée hors de portée à la fois à l'attaquant et à la victime une fois que les murs cryptés ont augmenté.
AdvertisementAdvertisementTo solve this dilemma, attackers started looting victims’ networks before encrypting them, employing a technique now known as multifaceted extortion. Mandiant traces the rise of “name and shaming," where a ransomware attacker publicly announces a victim’s embarrassing data losses online, to 2019.L'année suivante, plus de la moitié des attaques de ransomwares observées par Mandiant impliquaient des données transférées sur le réseau d'une victime.
AdvertisementAvec un contrôle sur les trésors du réseau, les cybercriminels pourraient menacer de manière crédible de divulguer des secrets commerciaux ou des dossiers de santé des employés pour faire réfléchir à deux fois avant l'appel dans l'application.La même année, cette tactique a décollé, les paiements moyens de rançon ont augmenté de 83% à plus de 150 000 $, selon Mandiant.Jusqu'à récemment, cependant, le paiement d'une rançon n'a toujours fourni aucune garantie réelle, l'opérateur de ransomware ne fuirait pas de toute façon les données une fois la transaction terminée.
AdvertisementC'est ici qu'un gang connu sous le nom de Maze a vu l'opportunité: construire sa marque, se démarquer d'une foule peu fiable d'acteurs de menace et finalement gagner plus d'argent.À partir de 2019, lorsqu'une victime a payé une rançon de labyrinthe, elle n'achède pas seulement son réseau, disons Carmakal.Ils achetaient une garantie que tous leurs secrets commerciaux resteraient hors des mains des concurrents, qu'ils n'encouriraient pas la colère des régulateurs et des clients pour ne pas obtenir leurs informations personnelles, que leurs communications internes privées ne se retrouveraient pas demain sur demainpage de garde.
AdvertisementAdvertisementBy introducing trust into the equation, Maze redefined the “rules of engagement," according to Carmakal, and ushered in a new era of brand-conscious ransomware gangs that had been first hinted at by SamSam, helping bring into the criminal mainstream helpful hotlines and customer service representatives that allow victims to troubleshoot their own hostage-taking.
AdvertisementAdvertisementAdvertisementUn autre inhibiteur précoce des ransomwares était son modèle de distribution aveugle, qui s'appuyait sur la chance de terrer des logiciels malveillants dans une boîte aux lettres appartenant à un utilisateur qui n'était pas au courant de la règle Stranger-Danger d'Internet, dit Carmakal. Since blasting their malware across the internet via “shotgunlike" mass phishing campaigns left attackers with no way of knowing whether they’d hit a pensioner’s 20-year-old desktop or a multibillion-dollar corporate network, they had to keep their demands restrained just to ensure they walked away with something to show for their crime.Habituellement, cela signifiait des demandes de l'ordre de 500 $ à 15 000 $.Kirk se souvient que l'ordinateur personnel de son propre beau-père est détourné par ransomware il y a dix ans pour quelques centaines de dollars.*
AdvertisementAprès tout, vous pouvez en apprendre beaucoup sur quelqu'un - et ce qu'il vaut - en passant un peu de temps à fouiller dans ses réseaux.Samsam est devenu l'un des premiers gangs à tirer des dizaines de milliers de dollars en une seule attaque en ajustant les demandes de rançon en fonction des actifs de chaque victime et de la capacité de payer. “Back in those days, that was big money," says Carmakal.
Pourtant, la plupart des extensions à multiples facettes aujourd'hui ne se soucient pas du ciblage prémédité ou de la reconditionnement de l'environnement de la victime, selon Carmakal.Ils vaporisent et prient.(Il dit même que les pirates de Revil ne connaissaient peut-être pas la véritable gravité dont ils frappaient lorsqu'ils ont attaqué le pipeline colonial à l'été 2021.) Mais ceux qui prennent le temps de scout avant de frapper sont récompensés pour le faire.Les opérateurs de ransomwares avisés rechercheront souvent des documents de cyber-assurance dans un réseau pour gagner une fenêtre sur le cadre d'analyse coûts-avantages de la victime et maximiser leurs demandes de rançon.
AdvertisementAdvertisementAdvertisementEn fait, parmi les experts avec qui j'ai parlé, les polices de cyber-assurance vis-à-vis des ransomwares sont un peu controversées.Bien que l'assurance puisse permettre aux victimes de supporter le coût d'une rançon autrement inabordable et de restaurer leur entreprise, Clayton note qu'il peut également encourager les attaques répétées, car le paiement d'une demande peut signaler qu'une victime est capable et disposé à le faire à nouveau.En souscription des coûts de ces paiements, le marché de la cyber-assurance fournit sans doute la récompense qui rend toute cette entreprise criminelle en vaut l'effort, permettant sa longévité.Que ce prix mérite d'être payé pour offrir aux victimes un filet de sécurité peut dépendre de la perspective duquel vous consultez la situation à travers.
Bien qu'il comprenne pourquoi une entreprise peut penser qu'elle n'a pas d'autre choix que de rembourser les cybercriminels pendant une crise, Clayton dit que des changements de niveau macro. “The big message here is if organizations continue to pay ransoms, ransomware attacks will continue," he says.«Support et demande simple."
AdvertisementAll of this speedy, trustworthy, and user-friendly service comes at a significant price.De l'avis de Clayton, les assureurs devraient utiliser leur influence économique sur leurs clients pour promouvoir de meilleures normes de sécurité à grande échelle en faisant valoir que la victime / le client a pris les «mesures minimales nécessaires pour se défendre."
AdvertisementAdvertisement
“The good news is insurance companies are reacting because they’re getting hammered" by the huge sums they’ve been forced to pony up to reimburse clients for ransomware losses, says Clayton—something Wall Street Journal reporter Dave Uberti has written about (and discussed on an episode of Slate’s What Next: TBD).En conséquence, le nombre d'attaques de ransomwares entraînant un paiement est passé d'environ 50% en 2020 à 12% en 2021, explique Clayton.
Bien sûr, ceux qui souffrent de ce qui peut très bien être le pire jour de leur vie ne sont probablement pas trop préoccupés par ces considérations importantes. “You can’t put this in a vacuum and say if people just stopped paying, the criminals would go away," especially if the attack is enough to “kill your business," says Kirk."Certaines entreprises n'ont vraiment pas le choix."
AdvertisementAdvertisementAdvertisementToute cette notion de service client criminel peut sembler absurde, mais les victimes prennent note. Hired to support ransomware victims through the negotiation process, some legitimate organizations even “keep dossiers" on the various threat actors in this landscape, as noted in a May 2021 episode of What Next: TBD.En notant des gangs de ransomware sur la fiabilité, ces organisations peuvent aider les clients à décider si leur preneur d'otages est quelqu'un avec qui ils veulent faire affaire.
AdvertisementCependant, tout ce service rapide, digne de confiance et convivial a un prix important.
Avant que la pandémie n'ouvre les vannes aux ransomwares, les transactions de ransomwares ont été définies par les bas, selon Wolff: cibles de faible valeur, faibles paiements et faibles degrés de confiance.Lorsque les victimes ont cédé et payé pour un outil de décryptage (environ 40 000 $ à 100 000 $), ils ne récupéraient souvent que 50% de leurs réseaux.
AdvertisementLes victimes d'aujourd'hui, en revanche, sont plus susceptibles d'être pleinement restaurées, et elles sont moins susceptibles de subir des fuites de données.Carmakal dit que 90% des décrypteurs partagés par la plupart des grands groupes fonctionnent réellement comme ils sont censés le faire (après que les attaquants aient obtenu leur rançon, bien sûr). The flip side is that the victims hit the hardest are now being held hostage for tens of millions of dollars, rather than tens of thousands.Et à une époque covide, lorsque vous donnez aux employés un accès à distance aux réseaux d'entreprise via des ordinateurs domestiques peu sûrs est une pratique standard, il y a plus de points d'entrée pour les attaquants à exploiter.
Bien sûr, rien de tout cela ne veut dire qu'un meilleur service client se traduit par des criminels bienveillants.Deux Iraniens accusés d'avoir créé les ransomwares de Samsam ont été inculpés par un u.S.Grand jury fédéral pour avoir piraté plus de 200 victimes, notamment les hôpitaux, les universités et plusieurs villes américaines (bien qu'elles soient probablement jugées), tandis que Conti a été impliqué dans des liens possibles avec les renseignements russes depuis l'invasion de l'Ukraine.Pourtant, créer une meilleure expérience client a certainement rendu ces criminels plus rentables.Alors que les gangs de ransomware ont évolué à partir de l'équivalent de pirate d'un télévendeur d'appelant à froid vers un modèle de ciblage beaucoup plus précis, délibéré et intelligent, ils ont également pu augmenter la valeur de leurs efforts en jetant leurs leurres plus précisément dans la direction du grandpoisson.
AdvertisementAdvertisementAdvertisementAdvertisementLike Liam Neeson’s character in Taken, software developers possess a very particular set of skills.La construction de ces compétences, cependant, comporte un coût d'opportunité: le temps passé à apprendre à coder les logiciels malveillants est le temps que vous ne pouvez pas passer, par exemple, à pratiquer comment échapper aux défenses du réseau.C'est pourquoi les développeurs de ransomwares externalisent de plus en plus diverses étapes de l'attaque à des acteurs extérieurs spécialisés, selon Clayton.
Une équipe peut construire les outils de ransomware, tandis qu'un autre acquiert l'accès initial au réseau de victime (souvent à travers des moyens comme le phishing), et encore un autre déverrouille les privilèges d'administration nécessaires pour verrouiller le système.Après que les assaillants ont abandonné leur bombe et crypté le réseau, une autre équipe a créé un site Web pour faire honte aux victimes de conclure un accord tandis qu'une autre équipe négocie avec les victimes.Selon Kirk, certains gangs embauchaient leurs propres chercheurs en vulnérabilité, qui pourraient offrir un accès à des vulnérabilités non découvertes (et donc non corrigées) pour exploiter.
Advertisement“Many cybercriminal gangs are often cobbled together based on areas of expertise," says Clayton.«Le profit est la colle qui les empêche de s'effondrer."
This multiteam model lends itself to a growing trend known as “ransomware as a service," or RaaS, in which ransomware developers make their wares available to whomever wants them on a subscription basis.
AdvertisementPensez-y comme une franchise McDonald's, comme certains experts aiment le décrire.Il y a bien sûr la société principale qui gère de nombreux restaurants, mais pas tous. Some are run by the franchisees—folks who may not get mentioned in the formal McDonald’s org chart, but still want in on the brand’s “secret sauce" (and the profits that come with it).Ils paient Ronald McDonald pour les droits d'utilisation de sa marque et de vendre ses produits dans les magasins locaux qu'ils gèrent eux-mêmes.
AdvertisementAdvertisementDe même, avec la montée en puissance des RAAS, les cybercriminels entrepreneuriaux peuvent exécuter leur propre attaque de ransomware en utilisant la dernière et la meilleure technologie de logiciels malveillants pour un prix mensuel bas et bas. But while the core group that developed and sold the code may turn a nice profit by sharing its tools, reckless “affiliates" (as the franchisees of ransomware are known) have brought unwanted attention to the sector as a whole.
Recent attacks against “high-profile targets" like Colonial Pipeline and JBS Foods were carried out by affiliates that acquired ransomware from brand-name operations, says Kirk.Non seulement ces attaques ont conduit à des pénuries d'approvisionnement, mais en frappant une infrastructure dite critique à l'échelle nationale, mais ils ont mis toute l'industrie du ransomware sur le radar de l'appareil de sécurité nationale le plus puissant au monde, ce qui a attiré ces groupes sans précédent l'attention de u de u.S.forces de l'ordre.
AdvertisementAdvertisementAdvertisementSous cette chaleur, les gangs voient de plus en plus leurs opérations perturbées et peuvent commencer à se battre entre eux sur la façon dont le butin doit être divisé. “As the whole racket becomes less disciplined, we’ll see more evidence of internal conflict," warns Clayton. Dissatisfied parties may splinter off into rogue elements, which may “double ransom" victims after the main team receives payment, potentially pressing their victims past their breaking points while they’re still recovering from their first bout.
De plus, la disponibilité croissante des outils de ransomware a permis aux cybercriminels en herbe d'entrer dans le jeu. Clayton says that ransomware has been increasingly used by “much smaller, much less disciplined gangs" since mid-2021, drawn to the top dogs’ growing revenues. He likens this to the “natural evolution" of business, in which a pioneering organization—whether that be Apple, Microsoft, or Ford—inspires smaller, less resourced firms to spring up and try to mimic its success.Mais là où la concurrence peut être une bonne chose dans le monde des affaires légitimes, car elle oblige les entreprises à améliorer la qualité de leurs produits ou à réduire les prix pour se tenir au-dessus de la foule, dans la cybercriminalité, les résultats ne sont pas aussi positifs.
AdvertisementAdvertisement“As smaller groups or lone wolves with less technical capability and resources get into the ransomware game, we will see more focus on short-term gain than the bigger picture of maintaining confidence," says Clayton. After all, even if maintaining a trustworthy reputation is seen as a value add for those sitting atop the ransomware S&P 500, not every ransomware actor caters to the idea of “honest" criminality.Les opportunistes à courte vue, imperturbables par l'idée de perdre des affaires futures, pourraient préférer prendre une rançon et courir plutôt que de voir les réseaux de leur victime restaurés en pleine santé.
Les ransomwares peuvent également être utilisés comme écran de fumée plutôt que comme une arme primaire, utilisé pour distraire les victimes et les enquêteurs après qu'un intrus ait déclenché des sonneries d'alarme, leur permettant de se faufiler hors du réseau au milieu de la panique. This may be particularly appealing to “highly sophisticated adversaries with more detailed objectives than exploiting money," says Clayton.
AdvertisementSimilarly, Carmakal says he’s “positive" that the trend away from extraneous data leaks “will change later this year" as a result of conflicts within ransomware operations.S'il a raison, les entreprises et les autres victimes pourraient voir leurs données divulguées, peu importe combien ils choisissent de coopérer avec leurs preneurs d'otages, ce qui signifie que certaines victimes pourraient se voir vissées deux fois.
Bien que tout cela suggère un avenir plus chaotique pour les ransomwares - un flux perpétuel de vols d'autoroute téméraires plutôt qu'un nombre discret de travaux de casse patient - les victimes peuvent faire face à des attaquants de plus en plus.Peut-être que la foi en ces négociations sombres, les grandes entreprises cesseront de gonfler cette bulle de ransomware.Mais ceux qui ne suivent pas les dernières tendances de la cybercriminalité peuvent penser qu'ils n'ont pas d'autre choix que d'acquiescer et ne saisiront que la double croix qu'après le chèque..
Correction, 19 mai 2022: Cet article à l'origine mal éteint que l'ordinateur de Jeremy Kirk de l'ordinateur de Jeremy Kirk a été détourné par Ransomware.C'était l'ordinateur du beau-père de Kirk.
Future Tenseis Un partenariat de Slate, New America, Andarizona State University, qui examine les technologies émergentes, les politiques publiques et la société.
TweetShareComment
