Menu

Pourquoi les pirates ransomware aiment un week-end de vacances

7 septembre 2021 - Technologies
Pourquoi les pirates ransomware aiment un week-end de vacances


Deux femmes tirent des valises en descendant un trottoir.
Agrandir / Gah, ça ne te manque pas de voyager sans stress ?

Le vendredi précédant le week-end du Memorial Day cette année, c’était géant de la transformation de la viande JBS. Le vendredi précédant le 4 juillet, c’était Société de logiciels de gestion informatique Kaseya et, par extension, plus d’un millier d’entreprises de taille variable. Reste à savoir si la fête du Travail verra un effondrement des ransomwares de grande envergure aussi, mais une chose est claire : les hackers adorent les vacances.

Vraiment, les pirates ransomware aiment aussi les week-ends réguliers. Mais une longue ? Quand tout le monde s’amuse avec sa famille et ses amis et évite soigneusement tout ce qui concerne le bureau à distance ? C’est le bon truc. Et bien que la tendance ne soit pas nouvelle, un avertissement conjoint émis cette semaine par le FBI et la Cybersecurity and Infrastructure Security Agency souligne la gravité de la menace.

L’appel aux attaquants est assez simple. Les ransomwares peuvent mettre du temps à se propager sur un réseau, car les pirates informatiques s’efforcent d’élever les privilèges pour un contrôle maximal sur la plupart des systèmes. Plus il faut de temps pour que quelqu’un le remarque, plus il peut causer de dégâts. « De manière générale, les acteurs de la menace déploient leur ransomware lorsqu’il y a moins de chances que les gens soient là pour commencer à débrancher », explique Brett Callow, analyste des menaces chez la société antivirus Emsisoft. « Moins les chances que l’attaque soit détectée et interrompue. »

Même s’il est attrapé relativement tôt, de nombreuses personnes chargées de s’en occuper sont potentiellement au bord de la piscine ou à tout le moins plus difficiles à trouver qu’elles ne le seraient un mardi après-midi normal.

« Intuitivement, il est logique que les défenseurs soient moins attentifs pendant les vacances, en grande partie à cause de la diminution du personnel », explique Katie Nickels, directrice du renseignement de la société de sécurité Red Canary. « Si un incident majeur se produit pendant un jour férié, il peut être plus difficile pour les défenseurs de faire venir le personnel nécessaire pour intervenir rapidement. »

Ce sont ces incidents majeurs qui ont probablement attiré l’attention du FBI et de la CISA ; en plus des incidents JBS et Kaseya, le attaque dévastatrice du pipeline colonial a eu lieu le week-end de la fête des mères. (Pas un week-end de trois jours, mais toujours programmé pour un maximum d’inconvénients.) Les agences ont déclaré qu’elles n’avaient aucun « rapport de menace spécifique » indiquant qu’une attaque similaire aurait lieu pendant le week-end de la fête du Travail, mais cela ne devrait pas être le cas. sorte de surprise si on le fait.

Il est important de se rappeler également que les ransomwares sont une menace constante, et pour chaque pénurie d’essence qui fait la une des journaux, des dizaines de petites entreprises se démènent à tout moment pour envoyer des bitcoins aux cybercriminels. Les victimes ont signalé 2 474 incidents de ransomware au Centre des plaintes contre la criminalité sur Internet du FBI en 2020, soit une augmentation de 20 % par rapport à l’année précédente. Les demandes des pirates ont triplé au cours de la même période, selon les données d’IC3. Ces attaques n’étaient pas toutes concentrées autour des week-ends de trois jours et des vacances Hallmark.

En fait, comme le reconnaissent la CISA et le FBI, les week-ends en général ont tendance à être populaires auprès des escrocs. Callow note que les soumissions à ID Ransomware, un service créé par le chercheur en sécurité Michael Gillespie qui vous permet de télécharger des notes de rançon ou des fichiers cryptés pour comprendre ce qui vous a frappé exactement, ont tendance à augmenter le lundi, lorsque les victimes sont retournées dans leurs bureaux pour trouver leurs données. crypté.

Le timing stratégique de la part des pirates informatiques prend également d’autres formes. Les attaques contre les écoles chutent abruptement à la fin du printemps et en été, dit Callow, car il y a alors beaucoup moins d’urgence associée à la reprise. Quand cela a volé 81 millions de dollars à la Banque du Bangladesh, Groupe Lazarus de la Corée du Nord chronométré le casse pour profiter non seulement des différences entre les week-ends bangladais et américains – dans le premier, c’est vendredi et samedi – mais aussi le Nouvel An lunaire, un jour férié dans une grande partie de l’Asie.

Il est vrai qu’une poignée de grands gangs de ransomwares—Côté obscur, Ragnarok et REvil parmi eux, se sont dissous ou se sont déconnectés ces derniers temps. La conseillère adjointe à la sécurité nationale, Anne Neuberger, a déclaré jeudi lors d’un point de presse que les agences de renseignement américaines avaient récemment constaté une « réduction » des ransomwares. Mais les chercheurs en sécurité mettent en garde contre tout soupir de soulagement. « Des groupes de ransomware comme Pysa, Lockbit 2.0, Conti et bien d’autres continuent de causer des dommages importants aux organisations », déclare Nickels. « Même lorsqu’une ou plusieurs familles dominantes de ransomware disparaissent, il y en a généralement une autre juste derrière pour combler le vide. » Dans le même briefing, Neuberger a également averti les organisations de « rester sur leurs gardes » avant le long week-end.

Malheureusement, se préparer à un éventuel piratage ne consiste pas à fermer diverses écoutilles un vendredi après-midi. À ce moment-là, il est déjà trop tard ; les attaquants ont tendance à se cacher dans les systèmes compromis et frappez au moment le plus opportun. Le meilleur moment pour une défense rigoureuse était souvent des semaines avant que le ransomware ne frappe réellement. « La plupart des cambriolages se produisent au milieu de la journée, mais vous ne fermez pas seulement votre maison à ce moment-là », explique Callow.

Cela dit, il existe des mesures que les entreprises et les particuliers peuvent prendre pour mieux se protéger des piratages, à la fois avant un long week-end et au-delà. Les recommandations du FBI et de la CISA font écho aux meilleures pratiques pour la plupart des situations de cybersécurité : ne cliquez pas sur des liens suspects. Faites une sauvegarde hors ligne de vos données. Utilisez des mots de passe forts. Assurez-vous que votre logiciel est à jour. Utilisez l’authentification à deux facteurs. Si vous utilisez Remote Desktop Protocol, un produit Microsoft qui a historiquement prouvé un point d’entrée populaire pour les attaquants, procédez avec prudence. Et peut-être garder quelques personnes supplémentaires de garde ce week-end, juste au cas où.

Cette histoire est apparue pour la première fois sur wired.com.