En novembre 2021, le département du Trésor des États-Unis a annoncé un partenariat avec Israël pour lutter contre les ransomwares. Alors que les auteurs d'attaques par ransomware mettent en place des organisations mondiales de plus en plus collaboratives, il est encourageant de voir que leurs défenseurs collaborent également au-delà des frontières. Le volume des attaques de ransomware, en particulier sur les infrastructures critiques, a accru l'attention des gouvernements et la surveillance du secteur. Même si les efforts coordonnés des forces de l'ordre ont permis d'étouffer les gangs de ransomwares à court terme, il n'y a aucune raison de croire que les ransomwares disparaîtront de sitôt.
Les ransomwares sont devenus l'une des plus grandes menaces de cybersécurité au cours des dernières années. Selon la Ransomware Task Force, il y a eu au moins 2 400 attaques de ransomware en 2020 et les victimes de ransomware ont payé 350 millions de dollars, soit une augmentation de 311 % par rapport à l'année précédente. Il sera intéressant d'observer comment ces statistiques seront modifiées à la fin de l'année 2021, compte tenu du nombre d'attaques de ransomware très médiatisées qui ont eu lieu l'année dernière.
Par exemple, l'attaque par ransomware de Colonial Pipeline a sans doute été l'attaque par ransomware la plus médiatisée de l'année dernière, puisqu'elle a entraîné une interruption de service d'une semaine pour la société d'énergie, en plus d'une rançon de près de 5 millions de dollars. L'attaque a été menée par DarkSide, un gang de ransomwares qui a déclaré : "Nous sommes apolitiques, nous ne participons pas à la géopolitique, il n'est pas nécessaire de nous lier à un gouvernement défini et de chercher nos motivations."
Les gangs de ransomware, tels que DarkSide, ont évolué au cours des dernières années pour devenir plus organisés dans leurs opérations et plus ciblés dans leurs attaques (ce que l'on appelle la "chasse au gros gibier" pour obtenir des paiements financiers plus importants). Sur le dark net, il existe un réseau criminel souterrain florissant composé de partenaires vaguement affiliés, chacun ayant son propre rôle et ses propres responsabilités.
Les courtiers en accès initial sont spécialisés dans le vol d'identifiants d'accès qu'ils revendent à d'autres criminels. Une fois la victime compromise, de nombreux gangs de ransomwares proposent une équipe d'assistance qui négocie la rançon ou fournit des instructions sur la manière d'effectuer le paiement. Le Ransomware-as-a-service (RaaS) a banalisé les attaques par ransomware pour les criminels qui manquent d'expertise technique, un miroir sombre aux solutions de cybersécurité censées les arrêter. Le fait est que les auteurs d'attaques par ransomware opèrent en tant qu'organisations internationales qui collaborent avec des criminels du monde entier.
Une réponse internationale
Après l'attaque de Colonial Pipeline, l'administration Biden a publié un décret sur l'amélioration de la cybersécurité de la nation, qui invitait le secteur privé à s'associer au gouvernement fédéral pour favoriser l'amélioration de la cybersécurité. Un mois plus tard, en juin 2021, le ministère de la justice a saisi 2,3 millions de dollars à DarkSide en suivant ses paiements. DarkSide s'est effondré sous la pression et a annoncé qu'il cessait ses activités, ce qui a conduit de nombreux chercheurs en sécurité à penser que son infrastructure avait fait l'objet d'un démantèlement coordonné.
Le décret du président Biden a ouvert la voie à une série d'annonces en matière de cybersécurité en 2021, notamment un mémorandum de sécurité nationale sur l'amélioration de la cybersécurité des systèmes de contrôle des infrastructures critiques, ainsi qu'à l'élaboration d'un modèle de maturité de la confiance absolue (Zero Trust Maturity Model). Le gouvernement appelle à une plus grande collaboration, mais selon un haut fonctionnaire de la Maison Blanche, "ce que nous voulons dire, c'est que le gouvernement fédéral ne peut pas faire cela tout seul : Le gouvernement fédéral ne peut pas agir seul.La sécurisation de nos infrastructures critiques nécessite un effort de toute la nation, et l'industrie doit faire sa part."
Outre les partenariats public-privé, le gouvernement s'engage également avec ses pays alliés. Le partenariat récemment annoncé entre le département du Trésor américain et Israël pour lutter contre les ransomwares devrait profiter aux deux pays, étant donné que les ransomwares et les cyberattaques ne connaissent pas de frontières.
Certaines des solutions de cybersécurité les plus avancées de la communauté internationale sont présentes à la fois en Israël et aux États-Unis. L'une des raisons pour lesquelles Israël produit autant de solutions de cybersécurité est que le service militaire national est obligatoire pour tous ses citoyens ; les méthodologies de cybersécurité offensive et défensive des forces de défense israéliennes ont conduit à la création de nombreuses technologies innovantes. Ce nouveau partenariat devrait donc permettre un échange bilatéral de bonnes pratiques et de technologies de pointe.
En outre, la direction nationale israélienne du cyberespace a récemment lancé une nouvelle doctrine de cyberdéfense. Cette doctrine est basée sur un cadre de sécurité commun (CSF) de l'Institut national américain des normes et de la technologie (NIST). Cela signifie que le partenariat entre les États-Unis et Israël arrive à point nommé pour permettre un échange d'informations, sur la base des contrôles de cybersécurité actualisés d'Israël, qui comprennent des recommandations spécifiques pour lutter contre les ransomwares.
Les attaques par ransomware étant de plus en plus fréquentes et visant désormais des infrastructures critiques, cette task force conjointe est chargée de prévenir les attaques par ransomware avant qu'elles ne causent des dommages irréparables. Après avoir récemment réussi à fermer, au moins temporairement, REvil, BlackMatter et DarkSide, il faut s'attendre à ce que ces groupes reviennent avec une vengeance renouvelée et que de nouveaux groupes émergent pour combler leur vide, y compris de puissants acteurs de la menace soutenus par des États-nations.
Compte tenu de l'aspect "État-nation" des attaques de ransomware, ce groupe de travail conjoint pourrait également perturber le financement d'organisations terroristes internationales et d'autres entités hostiles. Il existe déjà de nombreux programmes internationaux d'échange de renseignements. Ce nouveau groupe de travail représente donc une occasion pour les défenseurs de "passer à gauche" en supprimant les ransomwares comme source de financement du terrorisme et d'autres régimes oppressifs.
En matière de cybersécurité, il n'existe pas de solution miracle pour protéger les organisations, d'où l'importance de la collaboration. Encourager la collaboration entre les entreprises et les gouvernements du monde entier permet de renforcer les synergies afin que ces organisations disposent des meilleures contre-mesures pour protéger leurs activités. Alors que les auteurs de ransomwares continuent de progresser dans leurs opérations, il est impératif que les industries critiques améliorent également leur protection. Alors que les auteurs de ransomwares continuent de progresser dans leurs opérations, les industries critiques doivent elles aussi améliorer leur protection.
