Ransomware : Payer la rançon ne vous empêchera pas d’être à nouveau victime
Le Health Service Executive (HSE) d’Irlande a été félicité pour sa réaction après avoir été victime d’une importante attaque par ransomware et pour n’avoir pas cédé aux cybercriminels en payant la rançon.
Le HSE a été frappé par le ransomware Conti en mai. L’attaque a eu un impact considérable sur les services de santé du pays. Les attaquants ont initialement exigé une rançon de 20 millions de dollars en bitcoins pour fournir la clé de déchiffrement permettant de restaurer le réseau.
Une décision saluée
Si le groupe a fini par remettre une clé sans obtenir de rançon, il a tout de même publié des données de patients volées – une technique courante chez les groupes de ransomware, destinée à faire pression sur les victimes pour qu’elles paient.
La décision du HSE de ne pas payer la rançon a été saluée par la directrice du Centre national de cybersécurité (NCSC) du Royaume-Uni, Lindy Cameron, d’autant que l’attaque avait « dépassé les bornes » en perturbant les rendez-vous à l’hôpital et les services de santé dans toute l’Irlande.
« Je tiens à saluer la réaction des Irlandais. Les cybercriminels cherchent à gagner de l’argent – plus une méthode est efficace, plus elle sera utilisée », souligne-t-elle dans un discours devant l’Institute of International and European Affairs (IIEA), un think tank irlandais.
Payer la rançon vous désigne comme une cible de choix
L’attaque s’est produite à peu près au même moment que deux autres incidents très médiatisés – l’attaque au ransomware de Colonial Pipeline et l’attaque sur JBS. Contrairement au service de santé irlandais, ces deux organisations ont payé les cybercriminels des millions de dollars en bitcoins en échange de la clé de déchiffrement.
Colonial Pipeline et JBS sont loin d’être les seules à avoir payé des rançons. Mais de nombreux membres des forces de l’ordre affirment que le paiement de rançons perpétue le problème et fournit aux groupes cybercriminels les ressources nécessaires pour lancer des attaques plus ambitieuses contre d’autres cibles.
Le paiement de la rançon ne permet pas toujours de résoudre l’incident, car il implique de faire confiance aux criminels pour qu’ils respectent leur part du marché – ils pourraient facilement prendre l’argent et s’enfuir, ou revenir avec une nouvelle attaque de ransomware.
« Le paiement d’une rançon ne garantit pas que vous récupérerez vos données – et certainement pas que vous ne serez pas attaqué à nouveau. En fait, le fait d’annoncer que l’on est prêt à payer fait de vous une cible plus intéressante », explique Lindy Cameron. « Il est donc important que nous fassions tout ce qui est en notre pouvoir pour nous assurer que ce n’est pas un modèle criminel qui rapporte. L’action du gouvernement consistant à refuser de payer dissuadera probablement les opérateurs de ransomware de lancer d’autres attaques contre des organisations du secteur de la santé – en Irlande ou ailleurs. »
Un processus de restauration long et complexe
Malgré la réception de la clé de déchiffrement, la restauration du réseau est un processus long et ardu pour les service de santé irlandais, et des perturbations sont attendues pendant des mois en Irlande. Le NCSC a aidé les forces de défense irlandaises à la suite de l’incident, en s’appuyant sur l’expérience acquise lors de l’attaque WannaCry, qui a perturbé les réseaux du NHS en Angleterre.
« Comme vous pouvez l’attendre d’un partenaire proche, nous avons fait tout ce que nous pouvions pour soutenir nos partenaires en Irlande lorsque l’attaque a eu lieu. Nous avons notamment partagé autant d’informations pertinentes que possible, tant du point de vue de la cybercriminalité que des forces de l’ordre », indique Lindy Cameron.
« La nature mondiale de la menace signifie que nos partenariats internationaux sont essentiels pour contrer et dissuader les acteurs malveillants qui veulent causer du tort au Royaume-Uni », ajoute-t-elle.
Source : ZDNet.com
