Le géant américain de l’assurance CNA Financial aurait payé 40 millions de dollars à un gang de ransomwares pour récupérer l’accès à ses systèmes à la suite d’une attaque en mars, ce qui en fait l’une des rançons les plus chères payées à ce jour.
Le développement était le premier signalé par Bloomberg, citant «des personnes ayant connaissance de l’attaque». L’adversaire qui a organisé l’intrusion aurait exigé 60 millions de dollars par semaine après que la société basée à Chicago a entamé des négociations avec les pirates informatiques, aboutissant au paiement deux semaines après le vol des données de l’entreprise.
Dans une déclaration partagée le 12 mai, CNA Financial mentionné il n’avait «aucune preuve indiquant que les clients externes étaient potentiellement exposés à un risque d’infection en raison de l’incident».
L’attaque a été attribuée à un nouveau ransomware connu sous le nom de « Phoenix CryptoLocker », selon un Rapport de mars de Bleeping Computer, avec la souche censée être une ramification de WastedLocker et Hadès, qui ont tous deux été utilisés par Evil Corp, un réseau russe de cybercriminalité connu pour avoir lancé attaques de ransomware contre plusieurs entités américaines, dont Garmin, et déployant JabberZeus, Bugat et Dridex pour siphonner les informations d’identification bancaires.
En décembre 2019, les autorités américaines sanctionné le groupe de piratage et a porté plainte contre les dirigeants présumés d’Evil Corp, Maksim Yakubets et Igor Turashev, pour avoir développé et distribué le cheval de Troie bancaire Dridex pour piller plus de 100 millions de dollars sur une période de 10 ans. Les forces de l’ordre ont également annoncé une récompense pouvant atteindre 5 millions de dollars pour avoir fourni des informations susceptibles de conduire à leur arrestation. Les deux individus sont toujours en liberté.
Le développement intervient au milieu d’une forte augmentation des incidents de ransomware, en partie alimentée par la pandémie, avec le paiement moyen de la rançon témoin d’une augmentation massive de 171% d’une année sur l’autre, passant de 115 123 $ en 2019 à 312 493 $ en 2020. L’année dernière a également vu la plus forte demande de ransomware passer à 30 millions de dollars, sans parler du montant total payé par les victimes montant en flèche à 406 millions de dollars, basé sur des estimations prudentes.
La rançon de 40 millions de dollars de CNA Financial montre seulement que 2021 continue d’être une excellente année pour les ransomwares, encourageant potentiellement les gangs cybercriminels à rechercher des paiements plus importants et à faire progresser leurs objectifs illicites.
Selon un Analyse par la société de récupération de ransomware Coveware, la demande moyenne pour un paiement d’extorsion numérique a grimpé en flèche au premier trimestre 2021 à 220298 $, en hausse de 43% par rapport au quatrième trimestre 2020, dont 77% des attaques impliquaient la menace de fuite de données exfiltrées, une tactique courante connue sous le nom de double extorsion.
Alors que le gouvernement américain a régulièrement déconseillé de payer des rançons, les enjeux élevés associés à l’exposition des données ont laissé les victimes sans autre choix que de régler avec leurs agresseurs. En octobre 2020, le département du Trésor a publié un guide avertissement des sanctions contre les entreprises effectuant des paiements de rançon à une personne ou à un groupe sanctionné, incitant les sociétés de négociation de ransomwares à éviter de conclure un accord avec des groupes bloqués tels que Evil Corp pour se soustraire à une action en justice.
« Les entreprises qui facilitent les paiements de ransomware aux cyberacteurs au nom des victimes, y compris les institutions financières, les sociétés de cyber-assurance et les entreprises impliquées dans la criminalistique numérique et la réponse aux incidents, encouragent non seulement les futures demandes de paiement de ransomware, mais peuvent également risquer de violer [Office of Foreign Assets Control] règlements », a déclaré le ministère.
La montée en flèche des attaques de ransomwares a également eu un impact sur le secteur de la cyber-assurance, avec AXA annonçant plus tôt ce mois-ci, il cessera de rembourser les clients en France s’ils choisissaient de faire des paiements d’extorsion aux cartels de ransomwares, soulignant le dilemme selon lequel «les compagnies d’assurance sont aux prises avec succès pour souscrire des politiques de ransomware tout en étant confrontées à des coûts de paiement croissants qui menacent la rentabilité».
Pour se défendre contre les attaques de ransomwares, il est recommandé de sécuriser tous les modes d’accès initial exploités par les acteurs de la menace pour infiltrer les réseaux, maintenir des sauvegardes de données périodiques et maintenir un processus de récupération approprié en place.
«Les organisations doivent maintenir la sensibilisation et la formation des utilisateurs à la sécurité des e-mails et envisager des moyens d’identifier et de corriger les e-mails malveillants dès qu’ils pénètrent dans la boîte aux lettres d’un employé», ont déclaré les chercheurs de l’Unité 42 de Palo Alto Networks.
« Les organisations doivent également veiller à gérer correctement les correctifs et examiner les services susceptibles d’être exposés à Internet. Les services de bureau à distance doivent être correctement configurés et sécurisés, en utilisant le principe du moindre privilège dans la mesure du possible, avec une politique en place pour détecter les modèles associés à attaques par force brute. «
