Une étude révèle que la plupart des solutions anti-ransomware se contentent de payer en Crypto

Une étude de ProPublica a révélé que la plupart des fournisseurs de solutions de ransomware ont une astuce étrange pour se débarrasser des pirates : les payer.

L'activité des ransomwares augmente chaque semaine selon les experts deCovewareRésultat ? Des entreprises qui veulent simplement payer la rançon et passer à autre chose.

Selon Coveware, les attaques de ransomware ont augmenté au premier trimestre 2019 :

Au premier trimestre 2019, la rançon moyenne a augmenté de 89 % pour atteindre 12 762 $, contre 6 733 $ au quatrième trimestre 2018. Cette hausse reflète la multiplication des infections par des rançongiciels plus coûteux, tels que Ryuk, Bitpaymer et Iencrypt. Ces types de rançongiciels sont principalement utilisés dans des attaques ciblées sur mesure visant des entreprises de plus grande taille.

Une fois que les pirates ont chiffré un ordinateur infecté, la véritable question est de savoir comment déverrouiller vos données. ProPublica a constaté que de nombreuses entreprises de récupération de données se contentent de payer la rançon et facturent ensuite une prime pour leurs efforts.

Proven Data avait promis d'aider les victimes de rançongiciels en déverrouillant leurs données grâce aux « dernières Technologies», selon des courriels de l'entreprise et d'anciens clients. Au lieu de cela, l'entreprise a obtenu des outils de déchiffrement auprès des cyberattaquants en payant des rançons, selon Storfer et une déclaration sous serment du FBI obtenue par ProPublica.





Une autre entreprise américaine, MonsterCloud, basée en Floride, affirme également utiliser ses propres méthodes de récupération de données, mais verse des rançons, parfois sans en informer les victimes, notamment les forces de l'ordre locales, selon ProPublica. Ces entreprises se ressemblent sur d'autres points. Toutes deux facturent des frais importants aux victimes, en plus du montant des rançons. Elles proposent également d'autres services, comme le colmatage des failles de sécurité pour se protéger contre de futures attaques. Les deux entreprises utilisent des pseudonymes pour leurs employés, plutôt que leurs vrais noms, pour communiquer avec les victimes.

Monter

Les ransomwares s’aggravent.

Après que le procureur général des États-Unis a tracé etinculpéDeux pirates iraniens ont lancé un rançongiciel appelé SamSam. Les autorités espéraient une baisse de la fréquence des attaques. Celles-ci ont au contraire augmenté, dépassant considérablement les niveaux de 2018.

Beaucoup pensent que la raison est que les rançongiciels sont très lucratifs. Les pirates informatiques peuvent lancer une attaque, puis, lorsque les victimes découvrent le piratage, négocier brièvement avec des entreprises comme MonsterCloud et d'autres pour déverrouiller les ordinateurs. Cependant, nombre de ces entreprises proposent des méthodes de récupération, et de nombreux chercheurs en sécurité travaillent sur des méthodes gratuites, ONE pour le compte de la société. WannaCry populairerançongiciel.

Malheureusement, les piratages s’aggravent et les logiciels nécessaires deviennent plus complexes.

Coveware admet

Ils ont découvert que c'était ONEune des méthodes les plus simples pour récupérer des données. Cependant, ils craignent que ces efforts financent involontairement le terrorisme. De plus, écrivent-ils, le décryptage des ordinateurs piratés prend plus de temps, en raison des nouvelles versions du rançongiciel. Au premier trimestre 2019, selon Coveware, « le temps d'arrêt moyen est passé à 7,3 jours, contre 6,2 jours au quatrième trimestre 2018 ».

Reconnaissance de formes

Bill Siegel, PDG de Coveware, a constaté que la récupération moyenne après une attaque de rançongiciel ne résulte T réellement d'une négociation avec des « terroristes », contrairement à ce que pensent les responsables du gouvernement américain. Ils ont négocié « quelques centaines » de cas de rançongiciel cette année et ont constaté que chaque pirate est différent et souvent simplement frustré.

« Notre étude du secteur et notre expérience nous permettent de penser que la grande majorité d'entre eux sont des personnes relativement ordinaires, dont les perspectives économiques légales ne correspondent T à leurs compétences techniques », a déclaré Siegel. « Ils vivent également dans des régions du monde qui échappent à la juridiction des forces de l'ordre occidentales et sont réticents à voler l'Occident. »

Leur processus de communication avec les pirates est également assez précis.

Nous étudions leurs schémas de communication afin de constituer une base de données d'expérience. Le nombre d'acteurs malveillants actifs à un moment donné est étonnamment faible, ce qui facilite leur identification. À partir de là, nous disposons de scénarios et de tactiques que nous avons perfectionnés au fil de notre expérience. Nous nous en servons pour élaborer une stratégie de négociation pour le compte de notre client. Nous connaissons les pirates informatiques grâce à leur profil et à leurs schémas. Nous ne communiquons T avec eux en dehors de nos négociations avec nos clients. Toutes les données issues de nos dossiers sont également transmises aux forces de l'ordre chaque trimestre.

Zohar Pinhasi de MonsterCloud a déclaré que son entreprise travaillait dur pour utiliser les deux méthodes : la récupération et la rançon.

Le processus de récupération varie d'un cas à l'autre en fonction de l'ampleur et de la nature de la cyberattaque. Nos méthodes de récupération et de protection des données sont le fruit de nombreuses années d'expérience et d'expertise technique, et nous ne les divulguons ni au public ni à nos clients. Cela est clairement communiqué dès le départ. Cependant, je peux vous assurer que nous sommes une entreprise de cybersécurité, et non une entreprise de récupération de données. Nous possédons une connaissance approfondie et une grande expérience de la lutte contre ces criminels, et nous passons d'innombrables heures à maîtriser leurs méthodes en constante évolution afin de protéger nos clients contre tous les futurs attaquants, et pas seulement contre ONE qui s'infiltre dans leurs données au moment où ils nous contactent. Nous offrons une garantie satisfait ou remboursé à tous nos clients si nous ne parvenons pas à récupérer leurs données. À ce jour, aucun client n'a signalé d'attaque ultérieure de la part des mêmes criminels ou d'un autre attaquant.

Même si l'envoi de quelques milliers de BTC à une adresse inconnue peut déplaire à de nombreuses victimes, cela LOOKS être le meilleur moyen de réduire les temps d'arrêt. Après tout, c'est l'organisation qui a été victime du ransomware. Mieux vaut prévenir que guérir, dit-on.

Image via les archives CoinDesk .