Ces entreprises promettent des solutions de haute technologie contre les rançongiciels, mais ne paient généralement que des pirates

Cette histoire a été publiée à l'origine par ProPublica. Il apparaît ici sous une licence Creative Commons.

De 2015 à 2018, une souche de ransomware connue sous le nom de SamSam a paralysé les réseaux informatiques en Amérique du Nord et au Royaume-Uni. Elle a causé plus de 30 millions de dollars de dommages à au moins 200 entités, y compris les villes d'Atlanta et de Newark, le New Jersey, le port de San. Diego et le centre médical presbytérien de Hollywood à Los Angeles. Il a éliminé les demandes de service d'eau et les systèmes de facturation en ligne d'Atlanta, a incité le ministère des Transports du Colorado à faire appel à la Garde nationale et a retardé les rendez-vous chez le médecin et les traitements pour les patients du pays dont les dossiers électroniques ne pouvaient pas être récupérés. En échange de la restauration de l'accès aux fichiers, les cyber-attaquants ont collecté au moins 6 millions de dollars en rançon.

«Vous avez juste 7 jours pour nous envoyer le BitCoin», lisez la demande de rançon à Newark. "Après 7 jours, nous allons supprimer vos clés privées et il est impossible de récupérer vos fichiers."

Lors d'une conférence de presse en novembre dernier, le sous-procureur général de l'époque, Rod Rosenstein, a annoncé que le ministère de la Justice américain avait inculpé deux hommes iraniens de fraude pour avoir prétendument développé la tension et orchestré l'extorsion. De nombreuses cibles de SamSam étaient «des agences publiques dont les missions consistent à sauver des vies» et les assaillants ont réduit leur capacité à «fournir des soins de santé aux personnes malades et blessées», a déclaré Rosenstein. Les pirates «savaient que fermer ces systèmes informatiques pourrait causer des torts considérables à des victimes innocentes».

Dans une déclaration faite ce jour-là, le FBI a déclaré que les «acteurs criminels» étaient «hors de la portée des forces de l'ordre américaines». Mais ils ne sont pas hors de portée d'une société américaine affirmant que cette opération aide les victimes à retrouver l'accès à leurs ordinateurs. Selon Jonathan Storfer, un ancien employé qui les a traités, Data Récupération éprouvée à Elmsford, dans l’État de New York, a régulièrement versé des rançons aux pirates de SamSam pendant plus d’un an.

Bien que les transactions en bitcoins soient censées être anonymes et difficiles à suivre, ProPublica a été en mesure de retracer quatre des paiements. Envoyé en 2017 et 2018, d'un portefeuille en ligne contrôlé par Proven Data à ceux spécifiés par les pirates informatiques, l'argent a ensuite été blanchi via 12 adresses bitcoin avant d'atteindre un portefeuille géré par les Iraniens, selon une analyse effectuée par l'entreprise de traçage de bitcoin Chainalysis à notre demande. Les paiements vers cette destination en monnaie numérique et une autre liée aux assaillants ont ensuite été interdits par le Trésor américain, qui a invoqué des sanctions contre le régime iranien.

"Je ne serais pas surpris si une quantité importante de ransomware finançait à la fois le terrorisme et le crime organisé", a déclaré Storfer. «La question est donc de savoir si chaque fois que nous recevons SamSam, et chaque fois que nous facilitons un paiement, voici où cela devient vraiment risqué, cela signifie-t-il que nous finançons techniquement le terrorisme?

Proven Data a promis d'aider les victimes de ransomware en déverrouillant leurs données avec la "dernière technologie", selon les courriels de la société et d'anciens clients. Au lieu de cela, il a obtenu des outils de décryptage de cyberattaquant en payant des rançons, selon Storfer et un affidavit du FBI obtenu par ProPublica.

Une autre société américaine, MonsterCloud, basée en Floride, prétend également utiliser ses propres méthodes de récupération de données, mais verse plutôt des rançons, parfois sans informer les victimes telles que les agences de maintien de l'ordre locales, a découvert ProPublica. Les entreprises se ressemblent à d'autres égards. Les deux facturent des frais substantiels aux victimes en plus des montants de la rançon. Ils offrent également d'autres services, tels que le scellement des violations pour se protéger contre de futures attaques. Les deux entreprises ont utilisé des pseudonymes pour leurs travailleurs, plutôt que de vrais noms, pour communiquer avec les victimes.

Les paiements soulignent l’absence d’autres options pour les particuliers et les entreprises anéanties par les ransomwares, l’impossibilité pour les forces de l’ordre de prendre ou de dissuader les pirates, et le dilemme moral de savoir si le fait de payer des rançons encourage l’extorsion. Étant donné que certaines victimes sont des organismes publics ou reçoivent des fonds publics, l'argent des contribuables peut se retrouver entre les mains de cybercriminels dans des pays hostiles aux États-Unis, tels que la Russie et l'Iran.

Contrairement à Proven Data et MonsterCloud, plusieurs autres sociétés, telles que Coveware, dans le Connecticut, aident ouvertement les clients à retrouver l'accès à leur ordinateur en payant des pirates. Ils aident les victimes qui sont disposées à payer des rançons mais ne savent pas comment traiter en bitcoin ou ne veulent pas contacter directement les pirates. Dans le même temps, Coveware cherche à lutter contre la cybercriminalité en collectant et en partageant des données avec des chercheurs en application de la loi et en sécurité, a déclaré le PDG Bill Siegel.

Siegel désigne une poignée d'entreprises dans le monde, y compris Proven Data et MonsterCloud, comme des "usines de paiement pour ransomwares". Elles "démontrent avec quelle facilité les intermédiaires peuvent exploiter les émotions d'une victime de ransomware" en annonçant "le déchiffrement garanti sans avoir à payer le pirate informatique, »A-t-il déclaré dans un article de blog. "Bien qu'il ne soit pas illégal d'obscurcir la manière dont les données cryptées sont récupérées, elles sont certainement malhonnêtes et prédatrices."

Le directeur général de MonsterCloud, Zohar Pinhasi, a déclaré que les solutions de récupération de données de la société varient d’une affaire à l’autre. Il a refusé d'en discuter, affirmant qu'il s'agit d'un secret commercial. MonsterCloud n'induit pas les clients en erreur et ne leur promet jamais que leurs données seront récupérées par une méthode particulière, a-t-il déclaré.

«Nous avons un taux de récupération aussi élevé parce que nous savons qui sont ces attaquants et leur mode de fonctionnement typique», a-t-il déclaré. "Les victimes d'attaques ne doivent jamais contacter elles-mêmes et payer la rançon car elles ne savent pas à qui elles ont affaire."

Selon son site Web, Proven Data indique qu’elle «n’approuve ni ne supporte les revendications de l’auteur, car elles peuvent être utilisées pour soutenir d’autres activités criminelles néfastes, et il n’ya aucune garantie d’obtenir les clés ou, si elles sont obtenues, elles ne fonctionneront peut-être pas. "Payer la rançon, dit-il, est" une option de dernier recours ".

Cependant, le chef de la direction, Victor Congionti, a déclaré dans un courriel à ProPublica que le paiement des attaquants était une procédure standard chez Proven Data. «Notre mission est de veiller à ce que le client soit protégé, que ses fichiers soient restaurés et que les pirates informatiques ne reçoivent pas plus que le minimum requis pour servir nos clients», a-t-il déclaré. À moins que les pirates informatiques n'utilisent une variante obsolète pour laquelle une clé de déchiffrement est publiquement disponible, "la plupart des souches de ransomware ont des cryptages trop puissants pour être déchiffrés", a-t-il déclaré.

Congionti a déclaré que Proven Data avait payé les assaillants de SamSam "sous la direction de nos clients, dont certains étaient des hôpitaux où des vies pouvaient être en jeu". Il a cessé de traiter avec les pirates de SamSam après que le gouvernement américain les ait identifiés comme iraniens et a pris des mesures contre eux, dit-il. Jusque-là, a-t-il dit, la société ne savait pas qu'ils étaient affiliés à l'Iran. «En aucune circonstance, nous n'aurions sciemment traité une personne ou une entité sanctionnée», a-t-il déclaré.

La politique de Proven Data en matière de divulgation des paiements de rançon aux clients a «évolué au fil du temps», a déclaré Congionti. Dans le passé, la société leur avait dit qu'elle utiliserait tous les moyens nécessaires pour récupérer des données, "ce qui, selon nous, englobe la possibilité de payer la rançon", a-t-il déclaré. "Cela n'a pas toujours été clair pour certains clients." La société a informé toutes les victimes de SamSam qu'elle payait les rançons et qu'elle est "totalement transparente quant à savoir si une rançon sera payée", a-t-il déclaré.

"Il est facile de penser que personne ne devrait payer une rançon pour une attaque de ransomware, car de tels paiements encouragent de futures attaques de ransomware", a-t-il déclaré. «Il est toutefois beaucoup plus difficile d’adopter cette position lorsque c’est vos données qui ont été cryptées et que l’avenir de votre entreprise et tous les emplois de vos employés sont en péril. C'est un dilemme moral classique. "