Partie 1 sur 3 de la série Ransomwares : guide de terrain
En 1989, la toute première attaque de ransomware, connue sous le nom de « AIDS Trojan », a été distribuée via des disquettes. Les cybercriminels demandaient aux victimes de leur verser la maigre somme de 189 dollars — ce qui équivaut à environ 450 dollars en 2023 — en leur envoyant un chèque par voie postale en l'échange d'une clé de déchiffrement.
Aujourd'hui, les opérateurs de ransomwares continuent à peaufiner leurs tactiques et à empocher des sommes de plus en plus importantes. Ils ont extorqué des millions de dollars à des équipes de sport, à des entreprises du classement Fortune 500 et à des gouvernements du monde entier, entre autres.
Les professionnels de la cybersécurité doivent rester au fait d'un paysage des ransomwares en constante évolution pour prévenir ces attaques coûteuses. Voici les cinq principales tendances en matière de ransomwares récemment identifiées par Proofpoint dont les entreprises doivent se méfier.
1. Les ransomwares persistent et lancent davantage d'attaques contre les infrastructures critiques
Les attaques de ransomwares peuvent sembler stagner ces derniers temps au niveau mondial, mais demeurent une menace persistante. Cette accalmie apparente pourrait être liée à l'arrestation de plusieurs gangs de ransomware prolifiques par les forces de l'ordre. En outre, d'autres groupes ont récemment été dissous ou restructurés. Ces événements ont temporairement bouleversé le marché. Par ailleurs, les organisations RaaS (Ransomware-as-a-Service) se sont consolidées. Les groupes RaaS développent des outils de ransomware prêts à être exécutés et les vendent sous forme d'abonnement. En réduisant le coût et le niveau d'expertise technique nécessaire pour lancer des attaques de ransomwares, ces groupes ont ouvert le marché aux cybercriminels moins expérimentés.
Aujourd'hui, le vivier de victimes potentielles se rétrécit, car de nombreuses entreprises renforcent leur niveau de sécurité. Les cybercriminels se tournent donc vers des cibles plus faciles, en visant par exemple des infrastructures critiques comme les transports, les communications, la santé et l'enseignement. Rien qu'en 2022, ces organisations ont déposé 870 plaintes auprès du FBI concernant des attaques de ransomwares, soit une hausse de 34 % par rapport à l'année précédente.
D'après le rapport 2022 Cost of a Data Breach Report (Rapport 2022 sur le coût des compromissions de données) publié par IBM, les organisations d'infrastructures critiques sont souvent à la traîne lorsqu'il s'agit d'implémenter une stratégie Zero Trust et d'investir dans des technologies de sécurité. Quand elles sont compromises, les coûts peuvent donc être jusqu'à 23 % plus élevés que pour leurs homologues, ce qui en fait une cible de choix aux yeux des groupes de ransomware. Les établissements d'enseignement et de santé ont été particulièrement touchés par cette tendance à la fin de l'année 2022.
Non seulement les attaques de ransomwares visant les infrastructures critiques sont extrêmement coûteuses, mais elles sont désormais considérées comme une menace pour la sécurité nationale. La Maison-Blanche a récemment dévoilé sa stratégie nationale en matière de cybersécurité, qui reclassifie ces attaques comme des menaces pour « la sécurité nationale, la sûreté publique et la prospérité économique ».
2. Les techniques d'extorsion en plusieurs phases sont en plein essor
L'époque où les attaques de ransomwares se contentaient de bloquer l'accès aux systèmes et d'en chiffrer les données est bel et bien révolue. Les cybercriminels se concentrent désormais sur l'augmentation de leurs gains. Ils demandent donc plusieurs paiements, compromettent différents ensembles de données, exposent publiquement leurs victimes sur des sites de divulgation (« leak sites ») et emploient des techniques de double et de triple extorsion dans le cadre desquelles ils font du chantage aux clients.
D'après le rapport State of the Phish 2023 de Proofpoint, 64 % des entreprises infectées par un ransomware ont accepté de payer la rançon. Parmi elles, 41 % ont été contraintes de payer plusieurs fois. Un faible pourcentage de malchanceux n'ont jamais récupéré l'accès à leurs données. Malheureusement, cette situation n'est pas rare.
Ces dernières années, la fréquence d'utilisation de techniques de double extorsion par les opérateurs de ransomwares a augmenté. Plutôt que de se contenter de mettre à l'arrêt les activités des entreprises, les cyberpirates qui privilégient ces techniques exportent les données clients et les utilisent comme moyen de pression. Il arrive que ces cybercriminels sautent l'étape du chiffrement et passent directement à des tactiques d'extorsion.
Le nombre de cybercriminels qui privilégient le vol de données et l'extorsion — et qui n'utilisent pas de ransomwares — est en hausse. D'après le Global Threat Report 2023 de CrowdStrike, cette augmentation s'élève à 20 % en 2022. Les techniques d'extorsion ont elles aussi progressé, avec l'apparition de la triple extorsion, dans le cadre de laquelle les gangs de ransomware contournent les entreprises et contactent directement les clients dont les données ont été volées pour les alerter d'une compromission.
L'objectif de la triple extorsion est de convaincre les clients d'exercer une pression supplémentaire sur l'entreprise victime et, dans de rares cas, d'extorquer de l'argent aux clients eux-mêmes. Cette technique a notamment été utilisée en décembre 2022 contre le Knox College, une université américaine située dans l'Illinois. Le groupe de ransomware Hive, récemment démantelé, a obtenu un accès aux informations sensibles des étudiants et les a contactés directement pour exiger une rançon.
3. À mesure que les entreprises renforcent leur niveau de sécurité, le montant des rançons se stabilise
Les années passées à lutter contre les ransomwares sur plusieurs fronts semblent payer. En janvier, Chainalysis a estimé que les paiements de rançon avaient considérablement diminué en 2022, passant de 5,7 millions à 4,1 millions de dollars. Cette baisse peut sans doute s'expliquer par des progrès à plusieurs égards, plutôt que par un recul significatif des menaces de ransomwares. Aujourd'hui, les entreprises sont mieux armées pour prévenir les attaques de ransomwares. Il est par ailleurs plus difficile pour les cybercriminels de recevoir des paiements dans un contexte d'agitation des marchés de cryptomonnaie. En outre, les entreprises suivent les directives des forces de l'ordre, qui déconseillent de payer la rançon.
C'est une bonne nouvelle pour toutes les entreprises qui seront un jour infectées par un ransomware. Le paiement d'une rançon demeure toutefois une préoccupation, en particulier pour les entreprises qui comptent sur une cyberassurance pour récupérer leur argent. D'après notre rapport State of the Phish 2023, sur les 82 % d'entreprises ayant été victimes d'un incident de ransomware et ayant demandé une couverture par leur contrat de cyberassurance, moins de 40 % ont bénéficié d'une indemnisation complète. Qui plus est, les contrats de cyberassurance sont de plus en plus chers et difficiles à souscrire. En 2022, Forrester a révélé qu'une entreprise sur cinq seulement possédait un contrat de cyberassurance avec une couverture supérieure à 660 000 dollars. Ce chiffre est bien inférieur au montant moyen des demandes de rançon, estimé à 2,2 millions de dollars par Palo Alto Networks.
Cela souligne une fois de plus à quel point une approche « Shift Left » est devenue essentielle pour prévenir les charges virales initiales. Autre point positif de cette tendance, la remise moyenne sur les paiements de rançon semble augmenter. Les victimes peuvent s'attendre à bénéficier au minimum d'une remise de 20 à 25 % sur les paiements, allant parfois jusqu'à 60 %.
4. Les groupes de ransomware deviennent plus ciblés et sophistiqués
Face au nombre croissant d'entreprises qui refusent de payer, les groupes de ransomware se montrent plus stratégiques dans leur mode opératoire et leur choix de victimes.
Les groupes de ransomware ont également élargi leurs vecteurs d'attaque pour inclure les applications de messagerie, les SMS et les appels téléphoniques. Nous regroupons ces menaces sous l'appellation attaques par téléphone (TOAD, Telephone-Oriented Attack Delivery). En décembre 2022, Proofpoint observait en moyenne 300 000 à 400 000 menaces TOAD par jour. Bien souvent, ces canaux de communication ne sont pas protégés. Certaines victimes continuent à recevoir des SMS et des messages vocaux menaçants, même après que la demande de rançon du cybercriminel a été distribuée.
Les groupes de ransomware continuent également à recruter directement des collaborateurs pour compromettre leur employeur, en leur promettant une somme à six chiffres s'ils parviennent à leurs fins. Auparavant, de telles demandes étaient présentées en privé par email ou via des messages LinkedIn. Plus récemment, des groupes de ransomware comme Lapsus$ ont publié des annonces de recrutement sur Reddit et sur le Deep Web afin d'obtenir un accès à des entreprises spécifiques. Ces tactiques marquent un tournant inquiétant dans l'essor des menaces internes.
Lorsque des cybercriminels compromettent une entreprise, ils se déplacent latéralement sur son réseau. Ce faisant, ils recherchent des données sensibles et prennent le contrôle de comptes à privilèges pour y accéder. Cette tactique de compromission d'identités a aujourd'hui le vent en poupe auprès des cybercriminels. Les analystes ont donc inventé un nouveau terme de sécurité, « détection et neutralisation des menaces liées aux identités » (ITDR, Identity Threat Detection and Response), pour mettre en lumière ce problème croissant. L'ITDR désigne les stratégies et les solutions, comme Illusive, qui détectent et bloquent les cybercriminels en les empêchant d'accéder aux comptes et de voler des identifiants, et en neutralisant toute autre menace liée aux identités.
Une fois qu'ils ont infiltré un système, certains groupes de ransomware, tels que Lorenz, mènent une mission de reconnaissance approfondie sur leurs victimes. Les malwares qu'ils utilisent pour compromettre le système d'une victime sont de plus en plus ciblés et personnalisés. Cette stratégie accroît leurs chances de réussite et permet d'optimiser chaque effort d'attaque.
5. L'évolution des ransomwares s'accélère
En tant que secteur, les ransomwares évoluent plus rapidement que jamais. Selon Ivanti, les vulnérabilités système connues associées aux ransomwares ont progressé de 12 % au troisième trimestre 2022 par rapport à l'année précédente. Qui plus est, de nombreux groupes de ransomware se montrent plus agiles et flexibles afin d'exploiter ces vulnérabilités dès qu'elles sont publiquement annoncées — voire avant.
Ces groupes profitent également de cette flexibilité pour améliorer leurs produits et échapper aux forces de l'ordre. Arete et Cyenta ont indiqué dans leur rapport conjoint sur les ransomwares que 70 % des souches de ransomwares les plus courantes en 2022 n'existaient pas en 2021, signe d'un environnement particulièrement instable. Cela peut également s'expliquer, en partie, par un changement d'image de marque, un phénomène fréquent dans le secteur.
Certains groupes de ransomware, comme BlackCat, sont connus pour se mettre en retrait afin d'éviter d'être détectés, ce qui leur permet d'améliorer leurs malwares et de refaire surface sous un nom totalement différent. Cette pratique complique grandement le suivi et le démantèlement de ces groupes.
Votre entreprise prévient-elle les ransomwares ?
2022 a été une année chargée pour les opérateurs de ransomwares. Et en 2023, le paysage des menaces continue d'évoluer tous les jours. Les cybercriminels trouvent de nouveaux moyens d'augmenter leurs gains tout en restituant moins de données. C'est pourquoi il est primordial de se concentrer sur la prévention des ransomwares plutôt que de les détecter après une attaque.
Grâce à son approche multicouche de la sécurité et à ses algorithmes de détection avancés, Proofpoint intervient plus tôt dans la chaîne d'attaque pour bloquer les ransomwares avant qu'ils n'atteignent les boîtes de réception de vos utilisateurs.
Comment savoir si votre entreprise parvient à bloquer les attaques de ransomwares ? Profitez de l'évaluation rapide et gratuite des risques liés à la messagerie proposée par Proofpoint pour identifier les ransomwares et les malwares au sein de votre environnement. En moins de cinq minutes, vous pourrez :
- Identifier les menaces qui échappent à votre solution de protection de la messagerie
- Identifier les collaborateurs ciblés au sein de votre entreprise, comme vos VAP (Very Attacked People™, ou personnes très attaquées)
- Découvrir en quoi Proofpoint offre la meilleure protection multicouche intégrée contre les menaces en constante évolution