Confidentialité à risque en raison de ransomware

Ces dernières années, ransomware ou virus qui sont utilisés pour extraire des victimes après rançons leurs données d'ordinateurs chiffrés et verrouillés, sont devenus une préoccupation croissante pour les entreprises qui opèrent dans tous les secteurs.
Leur potentiel destructeur est énorme: dans la première moitié de 2017, il y a eu deux épisodes majeurs d'attaque mondiale, par le biais ransomware WannaCry et NotPetya, qui ont causé de grands dommages à de nombreux utilisateurs et de nombreuses organisations partout sur la planète.

Mais si ces deux épidémies ont causé d'énormes problèmes à ceux qui ont souffert de l'infection, elles ont étonnamment apporté très peu de revenus à leurs créateurs.

En fait, l'adresse de paiement Bitcoin de WannaCry, où on leur a demandé de payer la «rançon», n'a atteint que 149.545 11.181 $, tandis que l'adresse de NotPetya a obtenu beaucoup moins: XNUMX XNUMX $.

Le problème auquel sont confrontés les criminels, déclare Marcin Kleczynski, directeur général de la société de cybersécurité Malwarebytes, est que "les gens sont devenus insensibles aux ransomwares courants qui chiffrent les fichiers". Les criminels qui propagent ces virus espèrent que les gens subiront la perte de leurs souvenirs numériques ou la perte de documents commerciaux critiques et paieront par conséquent quelques centaines de dollars pour obtenir la clé permettant de les déchiffrer. Dans la pratique, cependant, dit Kleczynski, un nombre croissant de victimes haussent simplement les épaules et restaurent leurs données à partir d'une sauvegarde.

Kleczynski et son collègue Adam Kujawa, qui mènent la recherche à Malwarebytes, attendent alors que les criminels vont étudier de nouvelles façons d'encourager les victimes à payer plutôt que de simplement restaurer la sauvegarde et ignorer la demande de paiement.

Et en fait, une forme de ransomware connue sous le nom de «doxware» apparaît sur la scène. «Fondamentalement,» dit Kujawa, «un doxware vous met ce soit-aut: payez, ou nous prendrons toutes les choses que nous avons cryptées et les mettrons en ligne avec votre nom".
Le nom dérive du «doxing», le terme utilisé pour décrire la publication d'informations privées sur Internet pour tromper, menacer ou intimider quelqu'un; et l'idée d'automatiser cette publication n'est certainement pas qu'une hypothèse théorique. Et, avec ces conditions et ces menaces, il est difficile de ne pas payer la rançon.

Des exemples de doxware «ciblés» ont déjà été présentés, et certains d'entre eux ont fait la une des journaux.

En 2014, Sony Pictures a subi une attaque combinée d'e-mails de phishing et de logiciels malveillants, à la suite de laquelle les criminels sont entrés en possession de fichiers enregistrés faisant référence à des conversations privées entre les dirigeants de l'entreprise. Dans les enregistrements, les dirigeants ont exprimé leur point de vue sur les employés, les acteurs, les concurrents et, surtout, ont parlé de leurs projets pour les futures productions cinématographiques. On ne sait pas si les criminels ont obtenu une rançon, mais le fait est que les conversations en question sont devenues du domaine public, créant de nombreux problèmes pour le géant du divertissement.

En mai, les pirates ont volé des fichiers à partir d'une clinique de chirurgie plastique lituanienne, contenant des renseignements personnels sur 25.000 anciens clients: les noms, les adresses et les procédures et les passeports des numérisations réalisées, les numéros d'assurance nationaux et des photos nues de patients. Ils ont mis en ligne la base de données via le réseau Tor crypté et a exigé des paiements aux patients de retirer leurs renseignements personnels du site. Les prix vont de € 50 pour les patients qui avaient seulement les noms et adresses sur le site, jusqu'à € 2.000 pour obtenir des informations plus invasives.

Et il y a quelques jours également, HBO a dû faire face à une situation similaire, avec 1,5 To de vidéos volées par des pirates informatiques - y compris des épisodes de Game of Thrones - et retenues contre rançon, avec la menace de publication.

Tant que le doxware est «dirigé à la main» sur certaines victimes, précises et bien identifiées, le risque reste, en quelque sorte, limité. Mais un doxware capable de frapper aussi dangereusement que WannaCry représenterait l'une des plus grandes violations de la vie privée de l'histoire, ainsi que l'une des plus grandes opportunités de gagner de l'argent jamais obtenues grâce à la cybercriminalité.

Le risque, cependant, n'est pas seulement cela. En fait, les doxware ne représentent qu'un des nombreux futurs possibles de l'évolution des ransomwares.

«Imaginez pouvoir infecter, par exemple, le système national de billetterie ferroviaire», explique Kleczynski. «Une soi-disant attaque par déni de service bloquerait complètement le service et, tant qu'elle durerait, représenterait des millions de dollars par jour en dommages. Vous ne tenez pas les fichiers en otage, vous tenez en otage un service public national. Il n'y a aucune possibilité de restauration à partir de la sauvegarde. "

Et que se passerait-il si les voitures étaient infectées? «Les ransomwares sur nos voitures sont certainement possibles», a déclaré Craig Smith, directeur de la recherche sur les transports de la société de cybersécurité Rapid7. "Qui prendrait le risque de conduire un véhicule compromis?"

Peut-être que ces scénarios ne sont pas que de la science-fiction, et ce ne sont pas non plus les pires. En décembre, une enquête sur 10 défibrillateurs cardiaques implantables a révélé «de graves faiblesses de protocole et de mise en œuvre», ce qui permettrait à un attaquant de tromper l'appareil en lui faisant garder ses canaux de communication ouverts et en autorisant les intrusions. Sera-t-il donc possible de tenir un cœur en otage? Cela ne s'est encore jamais produit, mais en cas de doute, nous ne pensons pas que quiconque veuille essayer de le restaurer à partir d'une sauvegarde ...

John Calcerano

Confidentialité à risque en raison de ransomware