Payer ou ne pas payer : telle est la question à laquelle les victimes de rançongiciel doivent répondre

La plupart des gens n’ont jamais entendu parler de la Colonial Pipeline Company avant mai 2021, même si elle transporte 45 % de tout le carburant consommé sur la côte est des États-Unis. Cette société travaille dans les coulisses, déplaçant 100 millions de gallons d’essence raffinée et de carburéacteur à travers 8 500 kilomètres de pipeline chaque jour. Cependant, tout a changé début mai lorsque le carburant a cessé de couler pendant plusieurs jours. De nombreux rapports sur les pompes à essence fonctionnant à sec et la panique des gens achetant du gaz ont fait de Colonial Pipeline un nom connu dans le monde entier. 

Une attaque de rançongiciel était à l’origine de l’arrêt du carburant. Le gang de rançongiciels DarkSide avait infiltré les systèmes informatiques du réseau d’entreprise de Colonial Pipeline. En plus d’avoir ses systèmes informatiques hors ligne, l’entreprise a fermé certains systèmes de son réseau opérationnel par mesure de précaution. Le réseau opérationnel utilise des systèmes automatisés pour surveiller et contrôler le carburant qui circule dans le pipeline. La mise hors ligne de ces systèmes a empêché l’infection de se propager au réseau opérationnel. Cependant, cela a également entraîné l’arrêt de toutes les opérations du pipeline. 

La société a payé 4,4 millions de dollars américain au gang de rançongiciel DarkSide pour obtenir la clé nécessaire au décryptage de ses données. Bien que le paiement de la rançon ait permis à Colonial Pipeline de mettre ses opérations de pipeline en ligne plus tôt, les experts en sécurité craignent que cela n’encourage d’autres cybercriminels à tenter des attaques similaires. Et leurs inquiétudes sont peut-être fondées. Quelques semaines seulement après que Colonial Pipeline ai payé la lourde rançon, l’un des plus grands producteurs de viande au monde avec une énorme présence au Canada, JBS, a annoncé qu’il avait été victime d’une attaque de rançongiciel.

Ces événements ravivent le débat sur la question de savoir si les entreprises doivent payer la rançon si leurs données sont prises en otage. Répondre à cette question, cependant, n’est pas aussi simple qu’il n’y paraît, surtout compte tenu des nouvelles tactiques utilisées par les cybergangs. Même le Ransomware Task Force, un groupe qui a récemment développé un cadre stratégique pour lutter contre la menace croissante des ransomwares, n’a pas pu s’entendre sur une réponse. « Le groupe de travail sur les ransomwares en a longuement discuté », a déclaré l’un de ses membres. « Il y avait beaucoup de choses importantes sur lesquelles le groupe est parvenu à un consensus et le paiement en était une sur laquelle il n’y avait pas de consensus. » 

Il appartient donc aux entreprises de décider par elles-mêmes s’il est judicieux de payer les gangs de rançongiciels. Voici quelques-unes des raisons pour lesquelles les entreprises paient et ne paient pas lorsqu’elles sont victimes d’une attaque de ransomware. 

Pourquoi les entreprises paient la rançon 

Payer la rançon pour récupérer les données est un phénomène assez courant dans les entreprises. L’étude « The State of Ransomware 2021 » de Sophos a révélé que 32 % des entreprises dont les données ont été chiffrées par un rançongiciel en 2020 ont payé la rançon. 

Colonial Pipeline a également décidé de payer la rançon après avoir découvert que certains de ses fichiers étaient cryptés. « Je sais que c’est une décision très controversée », a déclaré le PDG de la société, Joseph Blount. « Je ne l’ai pas fait à la légère. J’admettrai que je n’étais pas à l’aise de voir de l’argent sortir par la porte pour des gens comme ça. Mais c’était la bonne chose à faire pour le pays.” 

Blount a déclaré qu’il avait autorisé le paiement car, à ce moment-là, personne ne savait à quel point les systèmes de l’entreprise avaient été piratés. Par conséquent, il ne savait pas combien de temps il faudrait pour réparer ces systèmes et remettre le pipeline en service. 

Comme l’illustre l’exemple de Colonial Pipeline, certaines entreprises paient la rançon pour minimiser la perturbation de leurs opérations, en particulier lorsque la perturbation affecte de manière significative la vie d’autres personnes. Dans d’autres cas, les entreprises paient les cybergangs parce que cela est plus facile ou plus rapide que de reconstruire leurs données à partir de sauvegardes. Ou les organisations pourraient découvrir que leur seule option est de payer. Peut-être qu’ils n’ont créé aucune sauvegarde ou que le rançongiciel a chiffré à la fois les données d’origine et les fichiers de sauvegarde. 

Des tactiques de pression supplémentaires utilisées par les gangs de rançongiciels peuvent également inciter une entreprise à céder à leurs demandes. Ces tactiques incluent : 

• Exfiltration de données. De nos jours, la plupart des gangs de rançongiciels volent des données avant de les crypter, menaçant de publier publiquement les données volées si une entreprise refuse de payer. Au premier trimestre 2021, 77 % des attaques de ransomware incluaient une menace de divulgation de données volées, selon le « Q1 2021 Ransomware Report » de Coveware. 
• Certains gangs de rançongiciels tentent d’intimider les entreprises pour qu’elles paient la rançon. Par exemple, les membres du gang DoppelPaymer appellent souvent leurs victimes pour les intimider afin qu’elles paient. Dans un cas, ils ont même menacé d’envoyer un membre de gang au domicile d’un certain employé et ont fourni l’adresse du domicile de l’employé comme preuve qu’ils savaient où cette personne vivait. Le gang a également appelé plusieurs proches de l’employé. 

Pourquoi les entreprises ne paient pas 

Environ les deux tiers des entreprises dont les données ont été chiffrées par un ransomware en 2020 n’ont pas payé la rançon, selon l’étude « The State of Ransomware 2021 ». Ils ont pu récupérer leurs données à partir de sauvegardes ou par d’autres moyens (par exemple, en utilisant un outil de décryptage fourni par un tiers), éliminant ainsi la nécessité de payer. 

La plupart des experts en sécurité recommandent aux victimes de rançongiciels de suivre les traces de ces entreprises. Les experts estiment que céder aux demandes des gangs de rançongiciels les encourage à mener encore plus d’attaques. Il incite également d’autres cybercriminels à mener ce type d’attaque. Les nouveaux arrivants n’ont même pas besoin de savoir comment créer un programme de ransomware. Certains gangs laissent d’autres cybercriminels utiliser leurs programmes de ransomware pour une part des bénéfices, une pratique appelée Ransomware-as-a-Service. En 2020, les deux tiers des attaques de ransomwares ont été menées par des cybercriminels utilisant ce modèle, selon le rapport « Ransomware Uncovered 2020/2021 » de Group-IB. 

En plus d’encourager davantage d’attaques de rançongiciels, il existe d’autres raisons pour lesquelles les experts en sécurité ne recommandent pas de payer la rançon. En voici quelques-uns : 

• Céder aux exigences des cybercriminels ne garantit pas que les entreprises récupéreront toutes leurs données. Le plus souvent, les entreprises n’en récupèrent qu’une partie. Par exemple, seulement 8 % des victimes de ransomwares participant à l’étude « The State of Ransomware 2021 » ont récupéré tous leurs fichiers après avoir payé la rançon. En moyenne, les victimes n’ont récupéré que 65 % des fichiers cryptés, ce qui signifie qu’environ un tiers de leurs données étaient toujours inaccessibles malgré le paiement de la rançon. 
• Les cybercriminels pourraient exiger plus d’argent une fois la rançon initiale payée. C’est ce qui est arrivé au Kansas Heart Hospital de Wichita. L’hôpital a payé la rançon, mais les cybercriminels n’ont pas fourni la clé de déchiffrement. Au lieu de cela, ils ont exigé plus d’argent, que l’hôpital a refusé de payer. 
• Le paiement de la rançon pourrait enfreindre les réglementations gouvernementales. Par exemple, aux États-Unis, l’Office of Foreign Assets Control (OFAC) est une agence de renseignement financier et d’exécution du département du Trésor américain. Il impose des sanctions économiques aux individus et aux groupes qu’il désigne comme des « cyberacteurs malveillants », y compris les auteurs d’attaques de rançongiciels et ceux qui assistent, parrainent ou soutiennent ces attaques. Il est généralement interdit aux citoyens et aux organisations américaines de s’engager dans des transactions, directement ou indirectement, avec des cyber-acteurs malveillants désignés. Ce type d’engagement est interdit car il permet aux cyber-acteurs de tirer profit de leurs activités illicites et de les faire progresser – et ces activités pourraient menacer la sécurité nationale des États-Unis, selon le Département du Trésor américain. 

Ce n’est que le début du long chemin vers la reprise 

Décider de payer ou non la rançon est une décision difficile que les entreprises doivent prendre si elles sont victimes d’une attaque par ransomware. Quelle que soit leur décision, elles feront face à de nombreux défis tout en se remettant de l’infection. En plus de devoir restaurer leurs données et leurs systèmes, elles devront trouver et réparer la faille de sécurité qui a permis aux cybercriminels d’accéder à leurs réseaux, afin qu’ils ne soient plus attaqués. Et elles devront déterminer comment absorber les pertes (par exemple, la perte de revenus due aux temps d’arrêt) et les coûts supplémentaires (par exemple, le coût de l’intervention d’experts médico-légaux) résultant de l’attaque. 

Pour Colonial Pipeline, la reprise prendra des mois et coûtera à l’entreprise des millions de dollars, selon Blount. Cependant, il y a une perte que l’entreprise ne pourra pas récupérer – l’anonymat de l’entreprise. « Nous étions parfaitement heureux que personne ne sache qui était Colonial Pipeline », a déclaré Blount. « Malheureusement, ce n’est plus le cas. Tout le monde dans le monde nous connaît [maintenant]. 

MicroAge peut aider les organisations à réduire les risques de cybersécurité. Contactez-nous aujourd’hui pour voir comment nous pouvons vous aider.