Un nouveau projet de loi cherche à forcer la divulgation des paiements par ransomware

Un nouveau projet de loi américain a été présenté cette semaine, dans le cadre d'un effort bicaméral, proposé par la sénatrice Elizabeth Warren et la représentante Deborah Ross. La proposition législative s'appelle la Ransom Disclosure Act et elle a fait sensation.

Le projet de loi vise à rendre la divulgation d'informations sur une partie des victimes de ransomware obligatoire, réglementée et beaucoup plus immédiate. En vertu des modifications proposées, les victimes de rançongiciels devraient divulguer tout paiement effectué à l'acteur de la menace impliqué dans l'attaque, le montant demandé par les pirates ainsi que la devise spécifique utilisée dans l'échange de paiement de rançon.

Le projet de loi est présenté comme un outil indispensable pour comprendre la portée et les détails des attaques de ransomware , mais il a été considéré par certains comme une étape pour mettre les victimes de ransomware dans une situation encore plus difficile et les inquiéter davantage.

Bien que la divulgation d'informations semble être une bonne chose, et même si le projet de loi ne prévoit pas l'inclusion de détails sur l'entreprise à partir des rapports qui seront produits par le Department of Homeland Security, selon les analystes, les données soumises ne sont toujours pas correctement protégées contre les demandes de divulgation. en vertu de la loi sur la liberté de l'information, ainsi que d'autres formes de divulgation possible.

La situation est encore compliquée par le fait que presque tous les acteurs de la menace des ransomwares ont adopté plusieurs voies d'extorsion. Les gangs de ransomware menaceraient désormais couramment de divulguer des quantités importantes d'informations sensibles exfiltrées sur les victimes au cas où la victime contacterait les autorités. Si le projet de loi est adopté, cela ne laisserait aucun choix aux victimes des ransomwares et entraînerait sans aucun doute d'importantes fuites d'informations sensibles lors d'attaques futures.

On pourrait faire remarquer que les victimes d'infractions quotidiennes plus courantes telles que les cambriolages ne sont pas tenues par la loi de signaler l'infraction à la police. Dans le prolongement de cette ligne de pensée, certains pensent que les victimes de ransomwares qui n'ont pas exfiltré les données de leur réseau ne devraient pas être obligées de signaler l'attaque également. Cependant, au cours des derniers mois, presque chaque attaque de ransomware s'est accompagnée de vol et d'exfiltration de données, il s'agit donc d'une possibilité qui n'est pas très courante dans la réalité. Les ransomwares sont à la hausse depuis plusieurs années maintenant, avec des rapports indiquant que juste au cours de la pandémie mondiale de Covid-19 qui a commencé au début de 2020, les attaques de ransomwares ont augmenté de 72%.