Les ransomwares persistent même si les attaques très médiatisées aux États-Unis ont ralenti
Depuis que le président américain Joe Biden a averti le Russe Vladimir Poutine qu’il devait sévir contre les gangs de ransomware dans son pays, il n’y a pas eu d’attaque massive comme celle de mai dernier qui a entraîné des pénuries d’essence. Mais c’est un petit réconfort pour Ken Trzaska.
Trzaska est président du Lewis & Clark Community College, une petite école de l’Illinois qui a annulé les cours pendant des jours après une attaque de ransomware le mois dernier qui a mis hors ligne des systèmes informatiques critiques.
« Ce premier jour », a déclaré Trzaska, « je pense que nous étions tous probablement debout plus de 20 heures, en train de suivre le processus, en essayant de comprendre ce qui s’est passé. »
Même si les États-Unis ne subissent pas actuellement d’attaques de ransomware à grande échelle en première page, comparables à celles du début de l’année qui ciblaient l’approvisionnement mondial en viande ou empêchaient des millions d’Américains de remplir leurs réservoirs d’essence, le problème n’a pas disparu. En fait, l’attaque contre le collège de Trzaska faisait partie d’un barrage d’épisodes moins médiatisés qui ont bouleversé les entreprises, les gouvernements, les écoles et les hôpitaux qui ont été touchés.
L’épreuve du collège reflète les défis auxquels l’administration Biden est confrontée pour éradiquer la menace – et ses progrès inégaux dans ce sens depuis que les ransomwares sont devenus un problème urgent de sécurité nationale au printemps dernier.
Les responsables américains ont récupéré certains paiements de rançon, réprimé les abus de crypto-monnaie et procédé à des arrestations. Des agences d’espionnage ont lancé des attaques contre des groupes de ransomware et les États-Unis ont poussé les gouvernements fédéral, étatiques et locaux, ainsi que les industries privées, à renforcer les protections.
Pourtant, six mois après les remontrances de Biden à Poutine, il est difficile de dire si les pirates informatiques se sont calmés à cause de la pression américaine. Les attaques à plus petite échelle se poursuivent, les criminels ransomware continuant d’opérer depuis la Russie avec une apparente impunité. Les responsables de l’administration ont donné des évaluations contradictoires quant à savoir si le comportement de la Russie a changé depuis l’été dernier. Pour compliquer encore les choses, les ransomwares ne sont plus en tête de l’agenda américano-russe, Washington s’efforçant de dissuader Poutine d’envahir l’Ukraine.
La Maison Blanche a déclaré qu’elle était déterminée à « combattre tous les ransomwares » via ses divers outils, mais que la réponse du gouvernement dépend de la gravité de l’attaque.
« Il y en a certains qui sont des questions d’application de la loi et d’autres qui sont des activités de ransomware à fort impact et perturbatrices posant une menace directe pour la sécurité nationale qui nécessitent d’autres mesures », a déclaré le communiqué de la Maison Blanche.
Les attaques de ransomware – dans lesquelles les pirates informatiques bloquent les données des victimes et exigent des sommes exorbitantes pour les restituer – sont apparues comme une urgence de sécurité nationale pour l’administration après une attaque en mai contre Colonial Pipeline, qui fournit près de la moitié du carburant consommé sur la côte est.
L’attaque a incité l’entreprise à arrêter ses opérations, provoquant des pénuries de gaz pendant des jours, bien qu’elle ait repris le service après avoir payé plus de 4 millions de dollars de rançon. Peu de temps après a eu lieu une attaque contre le transformateur de viande JBS, qui a payé une rançon de 11 millions de dollars.
Biden a rencontré Poutine en juin à Genève, où il a suggéré que les secteurs d’infrastructure critiques devraient être « interdits » pour les ransomwares et a déclaré que les États-Unis devraient savoir dans six mois à un an « si nous avons un accord de cybersécurité qui commence à mettre de l’ordre ».
Il a réitéré le message en juillet, quelques jours après une attaque majeure contre une entreprise de logiciels, Kaseya, qui a touché des centaines d’entreprises, et a déclaré qu’il s’attendait à ce que la Russie prenne des mesures contre les cybercriminels lorsque les États-Unis fourniraient suffisamment d’informations pour le faire.
Depuis lors, il y a eu des attaques notables de la part de groupes qui seraient basés en Russie, notamment contre Sinclair Broadcast Group et la National Rifle Association, mais aucune des mêmes conséquences ou impact que celles du printemps ou de l’été dernier.
L’une des raisons peut être le contrôle accru du gouvernement américain, ou la peur de celui-ci.
L’administration Biden a sanctionné en septembre un échange de devises virtuelles basé en Russie qui, selon les responsables, a aidé les gangs de ransomware à blanchir des fonds.
Le mois dernier, le ministère de la Justice a dévoilé les accusations portées contre un opérateur ukrainien présumé de ransomware qui a été arrêté en Pologne et a récupéré des millions de dollars de rançons.
Le général Paul Nakasone, chef du US Cyber Command, a déclaré au New York Times que son agence avait lancé des opérations offensives contre des groupes de ransomware. La Maison Blanche a déclaré que les efforts « pangouvernementaux » se poursuivront.
« Je pense que les responsables des ransomwares, ceux qui les dirigent, prennent du recul en se disant : « Hé, si nous faisons cela, le gouvernement des États-Unis nous attaquera de manière offensive », Kevin Powers, conseiller en stratégie de sécurité pour une entreprise de cyber-risque. CyberSaint, a dit des attaques contre les infrastructures critiques.
Les responsables américains, quant à eux, ont partagé un petit nombre de noms d’opérateurs présumés de ransomware avec des responsables russes, qui ont déclaré avoir commencé à enquêter, selon deux personnes proches du dossier qui n’étaient pas autorisées à parler en public.
On ne sait pas ce que la Russie fera de ces noms, bien que le porte-parole du Kremlin, Dmitri Peskov, ait insisté sur le fait que les pays ont eu un dialogue utile et a déclaré qu' »un mécanisme de travail a été établi et fonctionne réellement ».
Il est également difficile de mesurer l’impact des arrestations individuelles sur la menace globale.
Alors même que le pirate informatique présumé attend son extradition vers les États-Unis après son arrestation en Pologne, un autre qui a été inculpé par les procureurs fédéraux a ensuite été rapporté par un tabloïd britannique comme vivant confortablement en Russie et conduisant des voitures de luxe.
Certains sont sceptiques quant à l’attribution de toute baisse des attaques de grande envergure aux efforts américains.
« Cela aurait pu être juste un coup de chance », a déclaré Dmitri Alperovitch, ancien directeur de la technologie de la société de cybersécurité Crowdstrike. Il a déclaré que demander à la Russie de réprimer les attaques à grande échelle ne fonctionnerait pas car « c’est une demande beaucoup trop granulaire pour calibrer les activités criminelles qu’ils ne contrôlent même pas complètement ».
De hauts responsables américains ont donné des réponses contradictoires sur les tendances des ransomwares depuis les discussions de Biden avec Poutine. Certains responsables du FBI et du ministère de la Justice disent qu’ils n’ont vu aucun changement dans le comportement russe.
Le directeur national de Cyber, Chris Inglis, a déclaré qu’il y avait eu une diminution perceptible des attaques, mais qu’il était trop tôt pour dire pourquoi.
Il est difficile de quantifier le nombre d’attaques étant donné le manque d’informations de base et les rapports inégaux des victimes, bien que l’absence d’incidents perturbateurs soit un marqueur important pour une Maison Blanche essayant de concentrer son attention sur les risques de sécurité nationale les plus importants et les violations catastrophiques.
Les victimes d’attaques de ransomware au cours des derniers mois incluent des hôpitaux, des petites entreprises, des collèges comme l’Université Howard – qui a brièvement mis hors ligne bon nombre de ses systèmes après avoir découvert une attaque en septembre – et la législature de Virginie.
L’attaque de Lewis & Clark, à Godfrey, dans l’Illinois, a été découverte deux jours avant Thanksgiving lorsque le directeur informatique de l’école a détecté une activité suspecte et a mis les systèmes hors ligne de manière proactive, a déclaré Trzaska, le président.
Une demande de rançon de pirates a exigé un paiement, bien que Trzaska ait refusé de révéler la somme ou d’identifier les coupables. Bien que de nombreuses attaques proviennent de pirates informatiques en Russie ou en Europe de l’Est, certaines proviennent d’ailleurs.
Les systèmes éducatifs vitaux étant affectés, y compris le courrier électronique et la plate-forme d’apprentissage en ligne de l’école, les administrateurs ont annulé les cours pendant des jours après la pause de Thanksgiving et ont communiqué des mises à jour aux étudiants via les médias sociaux et via un système d’alerte public.
Le collège, qui disposait de sauvegardes sur la majorité de ses serveurs, a repris ses activités ce mois-ci.
L’épreuve était suffisamment intimidante pour inspirer Trzaska et un autre président d’université qui, selon lui, ont vécu une expérience similaire pour planifier un panel sur la cybersécurité.
« La cotation boursière de tout le monde », a déclaré Trzaska, « n’est pas si cela va arriver, mais quand cela va arriver. »
——
Suderman a rapporté de Richmond, Virginie. L’écrivaine d’Associated Press Dasha Litvinova à Moscou a contribué à ce rapport.