Une nouvelle loi proposée obligerait les entreprises aux États-Unis à divulguer tout paiement de ransomware dans les 48 heures suivant la transaction.

Le bicaméral Ransom Disclosure Act, rédigé par la sénatrice Elizabeth Warren et la représentante Deborah Ross, obligerait les entreprises et les organisations – mais pas les particuliers – à fournir au département américain de la Sécurité intérieure des données sur les paiements de ransomware, y compris le montant et le type de crypto-monnaie demandé et la somme qui a été payée.

Le projet de loi vise à renforcer la compréhension du gouvernement américain sur le fonctionnement des entreprises cybercriminelles et à aider les responsables à développer une image plus complète de la menace des ransomwares. Alors que les paiements de rançon sont généralement effectués en bitcoin, les experts en sécurité affirment que les acteurs de la menace se tournent de plus en plus vers des «pièces de confidentialité», telles que Monero, ce qui rend plus difficile pour les enquêteurs de savoir où va l’argent.

La loi sur la divulgation des rançons exigerait également que la sécurité intérieure crée un site Web permettant aux organisations de déclarer volontairement le paiement des rançons, ainsi que de partager les informations divulguées au cours de l’année précédente, à l’exclusion des informations d’identification sur les entités qui ont payé. Des efforts similaires de chercheurs en sécurité existent déjà.

Warren dit que ces mesures sont nécessaires en raison du nombre « montant en flèche » d’attaques de ransomware ; les attaques ont augmenté de 158 % en Amérique du Nord l’année dernière, et les victimes dans le monde ont payé près de 350 millions de dollars de rançon, soit une augmentation de plus de 300 % par rapport à 2019, selon les données. De plus, des recherches récentes ont révélé que les paiements de rançon ne représentaient que 20 % du coût total d’une attaque de ransomware, les entreprises subissant la majorité de leurs pertes en raison de la perte de productivité et de la récupération après l’attaque.

« Nous manquons de données critiques pour poursuivre les cybercriminels », a déclaré Warren. « Ma facture avec [Representative] Ross établirait des exigences de divulgation lorsque les rançons sont payées et nous permettrait d’apprendre combien d’argent les cybercriminels siphonnent…