Les attaques par ransomware posent des défis importants aux organisations, entraînant souvent des pertes financières substantielles et des perturbations opérationnelles. La publication "How Does One Negotiate with Ransomware Attackers ?" de Sonia Boticiu et Fabian Teichmann, parue dans l'International Cybersecurity Law Review, aborde la question cruciale des attaques par ransomware et les subtilités de la négociation avec les attaquants. L'étude donne un aperçu complet du processus de négociation des ransomwares, en se concentrant sur la période allant de la survenue d'une attaque à la décision de payer la rançon, et comprend une analyse approfondie des tactiques de négociation du groupe de ransomwares Conti. Il explore les premières étapes de l'évaluation de la situation et de la négociation jusqu'aux recommandations sur les mesures à prendre pour minimiser les dommages et les risques.
La première étape consiste à déterminer la nature de l'attaque par ransomware. Les attaques par ransomware sont devenues une menace importante, tirant parti du manque de sécurité dans de nombreuses organisations. Ces attaques impliquent des logiciels malveillants qui empêchent les victimes d'accéder à leurs données ou à leurs systèmes et exigent une rançon pour les récupérer. L'essor du ransomware-as-a-service (RaaS) a encore aggravé le problème, permettant aux attaquants de distribuer facilement des logiciels malveillants personnalisés sur le dark web. Par exemple, des attaques très médiatisées comme celles de Colonial Pipeline et de l'Université de Californie à San Francisco ont mis en évidence les graves conséquences des ransomwares, incitant de nombreuses organisations à payer la rançon pour minimiser les perturbations. Toutefois, cette approche comporte de nombreux risques, notamment celui d'attaques futures.
Les entreprises doivent prendre des mesures préventives, avec des plans de réponse solides, basés sur des cadres tels que ceux de la CISA, du NIST et du SANS Institute. Ces plans comprennent généralement cinq étapes : préparation, identification, confinement, éradication et récupération. Des actions immédiates telles que la déconnexion des appareils touchés et l'identification du type de ransomware sont essentielles pour limiter la propagation et les dégâts.
Les incidents liés aux ransomwares peuvent nécessiter une déclaration obligatoire aux organismes de réglementation, en fonction des lois en vigueur dans les différentes juridictions. Par exemple, la directive 2.0 de l'UE sur la sécurité des réseaux et de l'information impose une telle déclaration. En outre, les entreprises doivent s'assurer que le paiement de la rançon n'enfreint pas les sanctions internationales, car de nombreux groupes cybercriminels sont soumis à des pénalités financières. En outre, le paiement d'une rançon peut également être considéré comme un financement d'organisations terroristes.
La décision de payer ou non la rançon implique la participation de diverses parties prenantes, notamment le directeur juridique, le directeur des opérations et, en fin de compte, le PDG. La question est souvent de savoir si l'assurance cybernétique de l'entreprise couvrira le paiement de la rançon. La préparation consiste à enregistrer toutes les communications avec les attaquants et à comprendre leur comportement antérieur et leur fiabilité. Les organisations devraient exiger une preuve de la clé de décryptage. L'analyse des antécédents de l'attaquant peut aider à déterminer sa crédibilité et la probabilité qu'il baisse le montant de la rançon.
Pendant la négociation, veillez à ce que les preuves et les communications soient documentées et conservées. demander l'aide d'experts tels que des analystes criminels ou des professionnels de la cybersécurité. Ces spécialistes savent négocier avec les attaquants et peuvent souvent réduire considérablement le montant de la rançon. La communication avec les attaquants se fait généralement par le biais de canaux cryptés et le processus de négociation peut comporter plusieurs étapes d'extorsion. Les négociations doivent être abordées comme des transactions commerciales, en gardant son calme et en évitant tout signe de désespoir. Les organisations ne doivent pas divulguer les détails de leur cyber-assurance et doivent demander plus de temps pour explorer les options de récupération. Démontrer des contraintes financières peut également aider à négocier une rançon moins élevée.
Un exemple de cas mentionné par l'auteur est celui de Conti, connu pour ses tactiques agressives, qui utilise un modèle RaaS pour distribuer des ransomwares. Sa double méthode d'extorsion consiste non seulement à crypter les fichiers des victimes, mais aussi à menacer de publier ou de vendre les données. Le processus de négociation avec Conti comprend des demandes initiales, la preuve des capacités de décryptage et des menaces potentielles d'escalade de l'attaque si les demandes ne sont pas satisfaites.
Bien qu'il soit important de reconnaître qu'il s'agit d'un processus difficile, il existe des mesures préventives telles que la formation des employés sur les risques de cybersécurité, la mise en œuvre de politiques de sécurité solides, l'investissement dans une assurance cybersécurité et le maintien de mises à jour régulières des logiciels.
Pour en savoir plus sur ce sujet, voir International Cybersecurity Law Review, 06.12.2023 (Fabian M. Teichmann & Sonia R. Boticiu). https://link.springer.com/article/10.1365/s43439-023-00106-w.