ClickCease Un regard réaliste sur les retombées financières des ransomwares

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Au-delà de l'hyperbole : Un regard réaliste sur les retombées financières des ransomwares

Joao Correia

14 décembre 2023 - Évangéliste technique

Les discussions sur la cybersécurité se déroulent souvent dans le cadre de récits grandioses et alarmants : impact élevé", "critique", "vulnérabilité la plus dangereuse", etc.vulnérabilité la plus dangereusedes expressions conçues pour faire les gros titres. La conversation se déroule à un niveau élevé, mettant en garde les organisations contre un environnement commercial complexe et risqué où, en un instant, elles pourraient être paralysées et subir des pertes financières considérables à la suite d'une violation.

Pourtant, si ces avertissements sont fondés sur la vérité, l'hyperbole qui les entoure induit souvent une certaine lassitude. Le phénomène est toujours présenté comme "la fin du monde" ou "la pire chose qui soit", sans pour autant fournir le contexte nécessaire ou une évaluation réaliste de l'impact réel.

Aujourd'hui, nous allons donc nous pencher sur un avis CISA/FBI mis à jourqui se concentre sur un nom familier dans le paysage des menaces - Royal (désormais BlackSuit) Ransomware - et sur les incitations financières à l'origine de ses activités.

Historiquement, nous avons discuté du fonctionnement de ce groupe et de certaines activités qui lui sont attribuées. Ils prospèrent dans le domaine des ransomwares, dupant les employés de diverses organisations en leur faisant cliquer sur des liens vers des ressources contrôlées par les attaquants (courriels d'hameçonnage), puis en déployant des charges utiles dans les systèmes internes de l'organisation.

C'est là que leur approche diverge de la norme. Les rançongiciels classiques chiffrent les systèmes et exigent une rançon en bitcoins ou équivalent, soit quelques milliers de dollars de désagréments, tout au plus, pour une grande entreprise. Ce montant limité de la rançon conduit souvent les organisations à envisager, et malheureusement parfois à payer, de résoudre la situation rapidement et avec moins de complications.

Cependant, le Royal Ransomware opère à plus grande échelle. Selon l'avis de la CISA et du FBI, depuis septembre 2022, il a exigé plus de 275 millions de dollars de rançons à diverses organisations, ce qui est tout à fait différent d'un modeste bitcoin. Bien sûr, toutes ces rançons n'ont pas été payées, mais même un pourcentage minime des paiements représente un profit considérable pour une activité aussi illégitime.

Il est intéressant de noter qu'ils se sont tenus à l'écart du modèle "ransomware-as-a-service", une évolution courante pour les groupes de menace expérimentés qui cherchent à devenir davantage un fournisseur de services qu'un acteur direct de l'exploitation. Notre analyse précédente suggérait une évolution potentielle vers le ransomware (ou le piratage) en tant que service, mais des observations récentes contredisent cette hypothèse. Royal a continué à opérer de manière indépendante, sans proposer ses services ou son infrastructure à des groupes tiers. Bien qu'elle ne cible pas un secteur en particulier, ses piratages très médiatisés, comme le récent incident du circuit de Silverstoneindiquent une stratégie consistant à cibler des entités notables et des entreprises de grande valeur afin d'augmenter la probabilité de paiement de la rançon. Leur portail sur le dark web, qui répertorie les victimes actuelles, comprend souvent de grandes entreprises dans différents domaines.

Notre hypothèse précédente selon laquelle Royal et BlackSuit pourraient être un seul et même groupe affinant ses outils a été confirmée. Royal et BlackSuit pourraient être un seul et même groupe affinant ses outils est désormais confirmée par l'avis de la CISA et du FBI. Ils ont élargi leurs cibles des systèmes Windows à l'espace plus lucratif des serveurs Linux, conformément à l'évolution de leurs opérations.

Il sera intéressant d'observer comment ces groupes s'adaptent aux nouvelles réglementations, telles que les règles de déclaration obligatoire de la SEC qui entreront en vigueur le mois prochain. les règles de déclaration obligatoire de la SEC qui entrent en vigueur ce mois-ci.. Il reste à voir si la divulgation obligatoire des piratages diminuera les paiements de rançons, ce qui aura un impact sur leur modèle économique, ou si leurs activités se poursuivront sans relâche.

Ces développements soulignent l'importance de l'élément humain dans la cybersécurité, qui est souvent un maillon plus vulnérable que les aspects techniques. En mettant l'accent sur les graves répercussions financières des activités criminelles lors de la formation des employés, on pourrait renforcer l'importance de la cybersécurité. Si l'on ajoute à cela les pratiques de base consistant à gérer les correctifs en temps voulu, on obtient au moins un premier facteur de dissuasion contre ces groupes.

Si l'on considère que leurs demandes de rançon pour une année dépassent de loin les bénéfices opérationnels de la plupart des entreprises pour une période similaire, les motivations - et les risques - de telles activités deviennent évidents, soulignant pourquoi la cybersécurité doit rester une priorité. Avec des acteurs de la menace qui visent des rendements aussi élevés, les organisations ne peuvent jamais se permettre d'être complaisantes en ce qui concerne leurs mesures de sécurité. 

Dans ce domaine, comme dans beaucoup d'autres, il s'agit en fin de compte d'une question d'argent.

Résumé
Un regard réaliste sur les retombées financières des ransomwares
Nom de l'article
Un regard réaliste sur les retombées financières des ransomwares
Description
Nous allons nous pencher sur une mise à jour de l'avis CISA/FBI, qui se concentre sur le ransomware Royal (aujourd'hui BlackSuit) - et sur les incitations financières.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information