«Les ransomwares deviennent rapidement une urgence nationale», a déclaré Brandon Wales, directeur par intérim de la Cybersecurity and Infrastructure Security Agency (CISA), lors d’une audition du Sénat sur les menaces de cybersécurité au milieu de la pandémie de coronavirus.
Témoignant mercredi devant un sous-comité de la commission sénatoriale de la sécurité intérieure et des affaires gouvernementales, le directeur par intérim de CISA, Pays de Galles, et d’autres témoins experts ont averti que les attaques de ransomwares provenant d’adversaires étrangers et d’autres mauvais acteurs constituaient une menace immédiate pour les établissements de santé et la vie des patients.
Les cybercriminels utilisent un ransomware pour accéder au réseau d’une organisation et le détenir contre rançon tout en refusant l’accès aux propriétaires sous la menace de publier ou de supprimer les données volées.
Selon un rapport CISA, «les incidents de ransomware peuvent avoir un impact important sur les processus métier et laisser les organisations sans les données dont elles ont besoin pour fonctionner et fournir des services critiques.»
Ces types d’attaques peuvent faire des ravages sur les systèmes de soins de santé, refuser l’accès aux dossiers médicaux et même affecter les dispositifs médicaux dont la vie des patients dépend.
Selon le témoignage du directeur par intérim de CISA au Pays de Galles, «les ransomwares sont rapidement devenus le risque de cybersécurité le plus visible sur les réseaux de notre pays» pendant la pandémie.
«Les ransomwares deviennent rapidement une urgence nationale […] Nous devons perturber le modèle commercial des ransomwares, et nous devons combattre les criminels »- Brandon Wales
«Depuis les premiers jours de la pandémie, nous avons vu des cyberacteurs malveillants cibler la recherche et le développement de vaccins, exploiter l’expansion spectaculaire du travail à distance et utiliser COVID pour faire progresser des stratagèmes criminels», a témoigné le Pays de Galles.
«Les ransomwares deviennent rapidement une urgence nationale», a-t-il ajouté.
«Nous faisons ce que nous pouvons pour sensibiliser, partager les meilleures pratiques et aider les victimes, mais l’approbation des défenses n’ira que très loin.
«Nous devons perturber le modèle commercial des ransomwares, et nous devons combattre les criminels.»
«En règle générale, nous avons recommandé de ne pas payer de rançon, en partie parce que cela favorise le modèle commercial» – Brandon Wales
Afin de ne pas alimenter le modèle commercial des ransomwares, le Pays de Galles a recommandé aux organisations de ne pas payer la rançon.
«En règle générale, nous avons recommandé de ne pas payer de rançon, en partie parce que cela favorise le modèle commercial.»
«Les ransomwares ne disparaîtront pas tant que le modèle commercial sera viable – tant que les opérateurs de ransomwares pourront le faire», a-t-il ajouté.
Et le modèle commercial des ransomwares est lucratif, avec une marge bénéficiaire pouvant atteindre 99% qui ne nécessite que 12 heures de travail, selon le témoignage de Bill Siegel, PDG de la société de réponse aux incidents cybernétiques Coveware.
«Les marges bénéficiaires actuelles de l’industrie de la cyber-extorsion sont LE problème FONDAMENTAL que nous devons résoudre» – Bill Siegel
Selon un rapport de Coveware, les entreprises ont versé en moyenne 178254 dollars aux criminels du ransomware au deuxième trimestre de 2020, en hausse de 60% par rapport au trimestre précédent.
«Les marges bénéficiaires actuelles de l’industrie de la cyber-extorsion sont LE problème FONDAMENTAL que nous devons résoudre», a déclaré Siegel.
En appliquant une certaine arithmétique au paiement moyen d’un rançongiciel d’environ 180000 USD, Siegel a déclaré que lorsque vous déduisez le coût moyen d’environ 350 USD qu’un cybercriminel investit d’avance par travail, il peut récolter entre 44150 USD et 177650 USD, en tenant compte du fait qu’ils sont succès seulement 25% du temps par rapport à chaque fois, entre autres variables.
«La marge bénéficiaire des acteurs de la menace est supérieure à 99% (c’est avant le retrait, ce qui peut réduire le produit total grâce au processus de blanchiment)», a calculé Siegel dans son témoignage écrit.
«La marge bénéficiaire des auteurs de menaces est supérieure à 99%» – Bill Siegel
«Ils ont probablement investi un total de 12 heures dans l’attaque à travers toutes les phases. Ils n’ont également pris pratiquement AUCUN risque.
«Toutes les activités ont été menées à distance sur Internet et via des proxys. La négociation d’extorsion a été effectuée via un e-mail crypté ou un service de chat TOR qui est introuvable. Le produit de l’extorsion est en crypto-monnaie et peut être transféré de manière anonyme via des canaux d’encaissement bien établis », a-t-il ajouté.
C’est tout un incitatif financier pour une seule journée de travail.
Selon John Riggi, conseiller principal pour la cybersécurité et les risques à l’American Hospital Association, le moyen le plus courant pour les acteurs étatiques et non étatiques d’accéder aux hôpitaux est le phishing.
«Nous pensons qu’une attaque par ransomware contre un hôpital franchit la ligne du crime économique à un crime menaçant la vie et devrait donc être poursuivie de manière agressive en tant que telle par le gouvernement» – John Riggi
«Le phishing reste la principale méthode pour introduire des logiciels malveillants et des ransomwares dans les hôpitaux, ce qui nécessite un personnel hospitalier dévoué et diligent pour surveiller et éduquer les effectifs déjà sollicités en raison de la pandémie», a déclaré Riggi.
«De toutes les attaques [on hospitals], les attaques de ransomwares sont une préoccupation majeure », a-t-il ajouté.
«Ces attaques pourraient perturber les soins aux patients, refuser l’accès aux dossiers et appareils médicaux électroniques critiques, ce qui entraînerait l’annulation des chirurgies et le détournement d’ambulances, et mettrait en danger la vie des patients et la communauté.
Si un pirate informatique parrainé par l’État ou une organisation criminelle avait accès à un dispositif médical utilisé par une cible de premier plan, les pirates pourraient simplement l’éteindre et assassiner leur cible.
Comme Richard Staynings, stratège en chef de la sécurité chez Cylera, l’a dit un jour Le sociable, «Nous parlons de cyber-assassinat. Vous n’avez plus besoin d’être MI6 et d’avoir émis un Walther PPK pour assassiner quelqu’un; il vous suffit d’avoir accès aux dispositifs médicaux qui maintiennent cette personne en vie. »
«L’utilisation combinée des capacités militaires et de renseignement, ainsi que des sanctions économiques pour renforcer les efforts d’application de la loi, peuvent réduire les cybermenaces pour le pays» – John Riggi
Selon Riggi, les attaques de ransomwares contre les hôpitaux mettent la vie des citoyens en danger et devraient être une priorité absolue du gouvernement américain.
« Nous pensons qu’une attaque de ransomware contre un hôpital franchit la ligne du crime économique à un crime menaçant la vie et devrait donc être poursuivie de manière agressive en tant que telle par le gouvernement », a-t-il déclaré.
Mais ce n’est pas seulement le travail d’un pirate informatique solitaire vivant quelque part dans un sous-sol. Les forces armées et les agences de renseignement étrangères emploient de plus en plus de pirates pour voler des données et des recherches sur la santé.
«Les services de renseignement étrangers de Chine, de Russie et d’Iran ont lancé des cyber-campagnes ciblant les soins de santé pour voler les données liées au COVID-19 et la recherche sur les vaccins» – John Riggi
Riggi a ajouté dans son témoignage écrit: «Dans une tendance inquiétante, les services de renseignement étrangers hostiles travaillent en collaboration avec des cybercriminels (dont les capacités de piratage et l’accès leur sont les plus utiles) pour cibler un large éventail de réseaux, y compris ceux liés aux soins de santé. . »
«Les services de renseignement étrangers de Chine, de Russie et d’Iran ont lancé des cyber-campagnes ciblant les soins de santé pour voler les données liées au COVID-19 et la recherche sur les vaccins», a-t-il ajouté.
Étant donné que la plupart des attaques proviennent de « refuges antagonistes étrangers » hors de portée des forces de l’ordre américaines, Riggi a déclaré au Comité sénatorial que « l’utilisation combinée des capacités militaires et de renseignement, ainsi que des sanctions économiques pour renforcer les efforts d’application de la loi, peut réduire les cybermenaces à la nation. »
«En se défendant vers l’avant, le gouvernement peut dissuader et perturber ces cybermenaces étrangères avant qu’elles n’attaquent.»
Le FBI avertit que les fraudeurs exploitent la pandémie de COVID-19 avec une augmentation des cyberattaques
Comment les soins de santé sont vulnérables aux cyberattaques, aux assassinats et aux agendas géopolitiques
« Cesser cette activité malveillante »: Pompeo dit à la Chine d’arrêter de voler la recherche sur le COVID-19
