Le cyber-crime rapporte plus d’argent que jamais. Au cours de l’année passée, où toujours plus d’entreprises étaient dépendantes de leur infrastructure numérique, des criminels ont saisi la chance qui s’offrait à eux.
La quantité moyenne des rançons versées suite à une attaque de type rançongiciel (‘ransomware’) a crû de 171 pour cent d’une année à l’autre. Voilà ce qui ressort du Ransomware Threat Report rédigé par Unit 42, le groupe de recherche de la firme de sécurité Palo Alto Networks. Ce rapport repose sur les chiffres mondiaux de cette dernière en 2020.
Alors qu’en 2019, une attaque au rançongiciel engendrait en moyenne le versement de 115.123 dollars aux Etats-Unis, au Canada et en Europe, ce montant a sérieusement augmenté en 2020 pour atteindre en moyenne 312.493 dollars. Les rançons exigées sont donc nettement plus élevées, selon Unit 42. L’année dernière, les criminels ont réclamé jusqu’à 30 millions de rançon lors d’une attaque au ransomware, alors que le montant le plus élevé demandé était encore de 15 millions de dollars entre 2015 et 2019. En moyenne, le montant réclamé était en 2020 de quelque 847.344 dollars aux Etats-Unis au Canada et en Europe.
Par souci de clarté, sachez que les criminels obtiennent rarement le montant qu’ils exigent. L’année passée, un maximum de 10 millions de dollars a ainsi été versé pour une seule attaque au rançongiciel, même si cela représente quand même une forte hausse par rapport à l’année précédente, lorsque le montant payé le plus élevé fut de 5 millions de dollars. Les entreprises qui acceptent de payer, versent en moyenne une rançon de 312.493 dollars, mais Unit 42 signale que les coûts réels sont généralement nettement supérieurs, parce qu’ils incluent les frais de recherche et d’analyse connexes.
Corona
Le ransomware apparaît depuis des années déjà dans les rapports des firmes de sécurité comme une menace croissante, mais il a progressé radicalement au cours de l’année écoulée. Il y a eu plusieurs raisons à cela, mais, comme on pouvait s’y attendre, le Covid-19 en est partiellement la cause. En mars, toute une série d’entreprises se virent forcées d’opter rapidement pour le télétravail. Cette hâte a souvent été de pair avec une diminution de la sécurité pour le réseau alors rapidement mis en oeuvre, mais aussi avec une plus grande dépendance des moyens numériques disponibles. Des personnes désespérées sont prêtes à payer plus, dit-on. Cela s’est justifié une fois encore par le nombre effarant d’hôpitaux attaqués de la sorte.
Au-delà de ces conditions, le rapport souligne aussi quelques nouvelles techniques utilisées à présent dans le milieu du cyber-crime. Citons par exemple la ‘double exploitation’, par laquelle les agresseurs cryptent non seulement les données sur les réseaux d’entreprise, mais les dérobent aussi. Cette technique incite la victime à payer plus rapidement, surtout si elle ne dispose pas de backups ou d’un bon plan de reprise sur sinistre. Les bandes menacent en effet de publier les informations volées, si elles ne reçoivent pas la rançon demandée. Les données se retrouvent alors sur ce qu’on appelle des ‘leak sites’ spéciaux. Ce qui est étonnant, c’est que ce type d’exploitation semble principalement être le lot d’une seule bande au ransomware appelée NetWalker et revendiquant 33 pour cent environ de l’ensemble des attaques. Unit 42 recense 113 entreprises, dont les données ont été jetées en pâture par le groupe en question.
Si on considère les pays, on trouve des victimes de ce genre de méfait essentiellement aux Etats-Unis. Dans ce pays, 151 organisations ont vu leurs données se retrouver à la rue, selon le rapport. Les Etats-Unis distancent ainsi nettement le deuxième pays, le Canada (39) et le troisième, l’Allemagne (26 victimes). En Belgique, Unit 42 recense quatre organisations, dont les données se sont retrouvées sur des ‘leak sites’.
Ryuk et Maze
Outre la bande Netwalker susmentionnée, le rapport évoque plusieurs grandes familles de rançongiciels qui se sont manifestées l’année dernière. La plus importante est probablement Ryuk. Il s’agit du malware qui, au cours d’une année déjà tourmentée, a été utilisé pour paralyser des centaines d’hôpitaux américains. Plus près de chez nous, il a notamment été exploité dans une attaque lancée contre le groupe IT français Sopra Steria. Les agresseurs ont souvent utilisé des macros dans des documents d’hameçonnage (‘phishing’) pour pénétrer dans l’entreprise et y installer des portes dérobées telles TrickBot.
De plus, et surtout dans les plus grandes firmes, le rançongiciel Maze a aussi fait beaucoup de victimes en 2020. C’est ainsi que Cognizant et Canon notamment ont ainsi été attaquées. Ce maliciel exploite lui aussi des documents d’hameçonnage dans Microsoft Word ou Excel, ainsi que des ‘exploit kits’ pour pénétrer par intrusion dans des entreprises. Ce qui est singulier ici, c’est que la bande à l’initiative de Maze a l’année dernière dissimulé son malware dans une machine virtuelle pour contourner la détection et l’installer plus facilement dans divers environnements.
Et puis, il y a encore WastedLocker, l’un des plus récents rançongiciels à s’être manifestés l’année passée, et probablement responsable des interférences chez Garmin. Ce malware cible surtout les plus grandes entreprises dans le secteur technologique entre autres, et en réclame des rançons plus élevées. Il serait sophistiqué sur le plan technologique et pourrait se faire passer pour un faux navigateur ou une fausse mise à jour logicielle.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici