Les attaques par ransomware et montant des rançons explosent

0

Cette année, les crises cyber liées aux ransomwares se sont intensifiées avec la mise en œuvre par les cybercriminels de nouvelles techniques sournoises d’extorsion, d’outils de piratage améliorés et de modèles économiques affinés. Dans ce secteur, les rançons réclamées ont battu de nouveaux records en 2020.

Une tendance qui se confirme et est documentée dans ce nouveau rapport de l’Unit 42, la division conseil en cybersécurité de Palo Alto Networks qui s’est penchée sur les dizaines de cas étudiés par ses consultants et chercheurs spécialisés dans l’analyse menaces au cours du premier semestre 2021. 

Les principales conclusions :

  • Le montant moyen des demandes de rançons a grimpé pour passer à 5,3 M$ au premier semestre 2021 — soit un bond de 518 % par rapport aux chiffres observés par l’Unit 42 sur l’ensemble de l’année 2020. 
  • La rançon moyenne versée s’élevait à 570 000 $, en hausse de 82 % par rapport à 2020
  • Pour les consultants d’Unit 42, « la quadruple extorsion » est en plein essor. Ce phénomène désigne les quatre stratégies utilisées par les pirates pour convaincre leurs victimes de payer. Ce nouveau scénario marque une intensification de la pression exercée par les cybercriminels qui, en 2020, n’utilisaient que deux méthodes.

La rançon moyenne versée à la suite d’une attaque par ransomware a progressé de 82 % pour atteindre le chiffre record de 570 000 $ au premier semestre 2021. Les tactiques employées par les cybercriminels sont en effet de plus en plus agressives pour contraindre les organisations à payer davantage. Cette hausse survient après l’augmentation de 171 % déjà constatée l’an dernier de la rançon moyenne versée, qui avait franchi la barre des 312 000 $. Ces chiffres, compilés par la division de conseil en cybersécurité de l’Unit 42, quantifient ce que nous sommes déjà nombreux à savoir : la crise des ransomwares continue à s’intensifier à mesure que les entreprises criminelles investissent davantage dans des opérations extrêmement lucratives basées sur des rançongiciels.

Il suffisait déjà de suivre l’actualité pour savoir que le phénomène s’aggravait, et nous étions déjà nombreux à en avoir fait personnellement l’expérience. Verrouillage de l’accès à nos ordinateurs, augmentation du prix de la viande, pénuries d’essence, fermetures d’écoles, retards dans les affaires judiciaires, impossibilité pour certains d’entre nous de faire inspecter nos véhicules et refus de prise en charge de patients dans certains hôpitaux, les conséquences des attaques par ransomware étaient multiples.

Essor de la quadruple extorsion

L’essor de la « quadruple extorsion » est préoccupant. La tendance a été identifiée par les consultants d’Unit 42 lorsqu’ils ont traité plusieurs dizaines de cas de ransomwares au premier semestre 2021. Il est désormais fréquent de voir les exploitants de rançongiciels combiner jusqu’à quatre techniques pour faire pression sur les victimes et les pousser à payer :

  1. Chiffrement : les victimes paient pour retrouver l’accès à leurs données brouillées et systèmes informatiques compromis qui ne fonctionnent plus à cause du chiffrement de certains fichiers clés. 
  2. Vol de données : les pirates dévoilent des informations sensibles si la rançon n’est pas payée. (La tendance a réellement explosé en 2020.)
  3. Déni de service (DoS) : les gangs de rançongiciels lancent des attaques par déni de service qui font tomber les sites Web publics de leurs victimes.
  4. Harcèlement : les cybercriminels contactent les clients, les partenaires commerciaux, les employés et les médias pour les informer du piratage de l’organisation.

S’il est rare qu’une organisation soit victime de ces quatre techniques, nous avons noté cette année que les gangs de cybercriminels mobilisaient des méthodes supplémentaires lorsque ni le chiffrement ni le vol de données ne suffisaient à faire payer les victimes. C’est deux fois plus que ce qu’indique le Rapport Ransomware 2021 d’Unit 42 qui signalait l’émergence du double chiffrement comme l’une des nouvelles tendances en 2020. L’adoption de ces nouveaux scénarios d’extorsion a stimulé l’avidité des gangs de ransomwares. Le montant moyen des rançons réclamées a bondi de 518 % au premier semestre 2021 pour atteindre 5,3 M$ — contre 847 000 $ en moyenne en 2020.

Nos consultants ont observé un nouveau record pour les demandes de rançon sur une victime unique. Il s’établit à 50 M$ au premier semestre 2021, contre 30 M$ l’an dernier. REvil a en outre récemment testé un nouveau scénario en proposant de fournir une clé de déchiffrement universelle à toutes les organisations touchées par l’attaque Kaseya, moyennant le paiement de 70 M$ — avant de rapidement revoir ce montant à la baisse, pour demander 50 M$. Kaseya a fini par obtenir une clé de déchiffrement universelle, mais on ignore quelle somme a été versée — si paiement il y a eu. 

Jusqu’ici cette année, les 11 M$ payés par JBS SA après une attaque d’envergure essuyée en juin 2021 représentaient la plus grosse rançon versée, alors que le record était de 10 M$ en 2020. 

Ransomwares : quelles perspectives ? 

La crise des ransomwares devrait continuer à monter en puissance au cours des prochains mois. Les groupes derrière les rançongiciels continuent en effet à perfectionner leurs tactiques pour renforcer leur pouvoir coercitif sur leurs victimes et les convaincre de payer. Ils développent également de nouvelles méthodes pour décupler le potentiel de déstabilisation de leurs attaques. L’Unit42 a ainsi commencé à voir que certains gangs chiffrent un type de logiciel d’infrastructure essentiel, l’hyperviseur, avec le risque de corrompre plusieurs instances virtuelles qui s’exécutent sur un seul serveur. L’Unit42 estime que les hyperviseurs, mais aussi d’autres logiciels d’infrastructures managées, seront davantage pris pour cibles. Au lendemain de l’attaque contre le logiciel de gestion de parc à distance, Kaseya, qui a permis de diffuser des ransomwares aux clients des fournisseurs de services gérés (MSP, Managed Service Providers), l’Unit42 anticipe une augmentation des attaques contre ces sociétés d’infogérance — et leurs clients. 

Si les rançons devaient poursuivre leur trajectoire ascendante, le bas du marché devrait continuer à intéresser les gangs qui ciblent régulièrement les petites entreprises sans gros moyens pour investir lourdement dans la cybersécurité. Depuis le début de l’année, certains groupes comme NetWalker, SunCrypt et Lockbit ont réclamé entre 10 000 $ et 50 000 $ de rançons qu’elles ont empochées. Même si ces sommes paraissent modiques au regard des rançons records observées, le versement de telles rançons peut affaiblir une petite entreprise. 

Pour approfondir le sujet, de nombreuses ressources et rapports détaillés sur les ransomwares sont publiés sur le blog de l’Unit 42. Parmi les points essentiels, vous retrouverez le Rapport Ransomware 2021 de l’Unit 42 ainsi que les profils de quelques-uns des gangs de ransomwares les plus prolifiques au monde :

Contre les attaques par ransomware, il faut un plan d’attaque. L’évaluation de son niveau de préparation face aux ransomwares constitue un excellent point de départ.

Au-delà, voici quelques conseils pour se prémunir de ces attaques. 

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply