Baltimore et le ransomware RobbinHood | Stormshield

Depuis début mai, les réseaux informatiques de la ville de Baltimore (États-Unis) sont paralysés. La cause : un ransomware qui a verrouillé les 10 000 ordinateurs du gouvernement sur place.

Après Atlanta et San Antonio l'année dernière, la cyberattaque de Baltimore confirme que les villes sont désormais des cibles comme les autres, au même titre que les entreprises et les administrations publiques. Mais alors, pourquoi parle-t-on autant de Baltimore ? En quoi est-ce différent des autres cyberattaques ?

 

Un montant de rançon élevé

Premièrement, à cause du montant de la rançon ; environ 100 000 $. Une étape symbolique importante, loin des 300 $ demandés au début de WannaCry en 2017. Les raisons de cette augmentation spectaculaire ? Une plus grande préparation et surtout sophistication des cyberattaques ainsi qu’une tendance contre les grandes organisations – qui ne peuvent se permettre le luxe d'interrompre leurs activités. Les secteurs industriels sensibles, les services publics ou encore les hôpitaux sont alors en première ligne. Selon les derniers chiffres du secteur, le montant moyen des rançons versées par incident au premier trimestre de cette année est de 13 000 $, en forte hausse par rapport aux 7 000 $ du dernier trimestre de 2018.

 

Une cyberattaque qui coûte cher

Deuxièmement, ce ransomware RobbinHood à Baltimore fait également la Une des journaux suite aux premières estimations sur le coût total de la cyberattaque. Qui irait jusqu'à 18 millions de dollars et pourrait augmenter encore davantage. Un chiffre bien supérieur à la moyenne des ceux issus de la dernière étude internationale réalisée par Accenture Security et le Ponemon Institute, qui ont estimé le coût moyen d'une cyberattaque à 13 M$. Un chiffre lui-même en hausse de 27% par rapport à l'année dernière et de 72% par rapport à il y a cinq ans. Attention, il convient de noter qu'il s'agit en effet d'une moyenne ; partout dans le monde, des cas de cyberattaques touchant de grands groupes font la Une des journaux depuis 2017 – avec des montants qui font tourner les têtes. Maersk, Mondelez et Saint-Gobain, affectés par NotPetya, ont enregistré des pertes respectives de 300 M$, 100 M$ et 80 M€. Plus près de chez nous, début 2019, Norsk Hydro et Altran perdaient également 40 M$ et 20 M€ suite à l'infection par le ransomware LockerGoga.

 

Un doute sur le paiement de la rançon

Ces coûts exorbitants pourraient-ils alors justifier la décision de certaines entreprises de payer la rançon exigée par les cybercriminels ? C'est le troisième point qui attire l'attention sur l'actualité de Baltimore, puisque le maire de la ville, Bernard C. Young, semble hésiter sur la question. « Pour l'instant, je dis non », déclarait-il fin mai. « Mais pour faire avancer la situation ? Je vais peut-être y réfléchir. Je n'ai pas encore pris de décision. » Pourtant, céder aux demandes de rançon ne semble pas être la meilleure idée – et ce, pour plusieurs raisons. Tout d'abord, les autorités comme le FBI aux États-Unis, ou l'ANSSI en France le précisent bien : le paiement d'une rançon encourage les actes malveillants. En contribuant au financement des activités des cybercriminels, les entreprises payantes contribuent également au développement d’autres ransomwares. De plus, payer une première fois peut vous coller une étiquette de « bon client » dans l’esprit des cybercriminels. Voire de potentielle « vache à lait », c’est selon. Enfin, ceux qui paient les rançons ne récupèrent pas systématiquement leurs données : dans 20% des cas, celles-ci sont en fait détruites dès qu'elles sont chiffrées. Le service après-vente n'est décidément pas une priorité pour les cybercriminels.

 

Une propagation réussie

Enfin, c'est la diffusion (réussie) de ce ransomware qui fait parler de lui – puisque le New York Times mentionne le nombre de 10 000 ordinateurs concernés. Ainsi que la longue période de blocage du système d'information – puisqu'il a déjà été plus d'un mois. Alors, comment se protéger efficacement contre ces demandes de ransomwares qui se multiplient ? Premièrement, il existe des mesures de sécurité et d'hygiène numérique de base. Commencez par l'installation régulière de mises à jour et l'utilisation d'un logiciel de protection Endpoint, évitez d'ouvrir des pièces-jointes à partir d'e-mails suspects ou d'expéditeurs inconnus et sauvegardez régulièrement vos données sur un système de stockage externe ou dans le cloud. En parallèle, en exploitant les vulnérabilités à distance, certains logiciels de ransomwares peuvent se répandre automatiquement dans les réseaux internes et infecter des milliers d'ordinateurs en peu de temps. Pour limiter ce type de propagation, il est nécessaire de mettre en place des systèmes de pare-feu de nouvelle génération, offrant un filtrage granulaire des connexions et des capacités de détection des menaces, en périphérie et au cœur de l'infrastructure.

 

Pour se défendre contre la sophistication croissante des cybercriminels, il est temps pour les entreprises de s'équiper en conséquence.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Les attaques par ransomware se multiplient et menacent l’équilibre économique et la pérennité de nombreuses entreprises et organisations. Pas une semaine ne passe sans qu’une entreprise ou qu’une administration ne fasse l’objet d’une attaque de ce type et ne reçoive la demande de rançon associée. Ce livre blanc Stormshield revient sur l’évolution des ransomwares et des acteurs qui en font une menace de premier plan. Il décrypte le fonctionnement de ces logiciels malveillants et délivre de bonnes pratiques pour ne plus en subir les conséquences. Sans occulter la question centrale qui traverse de nombreuses structures confrontées au problème : payer ou non, faut-il céder ?