Article / 3 min. de lecture - mise en ligne le 16/03/2022
Ransomwares, la menace évolue
Retour sur les cybermenaces dont la virulence implique de lourdes conséquences pour les entreprises qui en sont victimes. Décryptage avec William Culbert, Directeur EMEA Sud de BeyondTrust.
Les attaques de ransomwares augmentent depuis quelques années, ne montrant aucun signe de ralentissement. Les vulnérabilités récentes ont atteint le niveau de criticité le plus élevé et nécessitent un correctif immédiat des entreprises - même si cela impacte leur activité - pour éviter d'être considérées comme des cibles. Les grandes entreprises, les établissements scolaires tout comme les administrations locales sont visées et les attaques sont aujourd'hui tellement rapides qu’on peine à les compter.
L'évolution des attaques par ransomware
Il était déjà très facile de les propager par e-mail ou via d’autres attaques courantes, sans parler des nombreuses vulnérabilités qui favorisent l’injection directe de malwares. Mais désormais les « ransomwares as a service » prolifèrent littéralement et les kits de ransomwares s’achètent très facilement en ligne. Des marchés de ransomwares en pleine expansion permettent même à tous de développer et d’acquérir des ransomwares.
Les cybercriminels changent de tactique par rapport aux années précédentes. Les types de cibles et d’attaques diffèrent de ce que l’on connaissait il y a quelques années, quand le chiffrement d’ordinateurs personnels ne permettait de détourner que quelques centaines de dollars par victime. Si près de la moitié des victimes continuent de payer la rançon, les montants des rançons de même que les cibles sont de plus en plus importants et les négociations peuvent se chiffrer en dizaines de millions de dollars. Le montant moyen des rançons a presque triplé entre 2019 et 2020 !
Les attaquants savent qu’ils ont des moyens de pression et visent même des entreprises ayant souscrit une assurance, dans la limite de leur couverture. Cette nouvelle stratégie représente un combat difficilement gagnable pour les entreprises, même les plus importantes, stables, matures et assurées.
Appréhender la menace
Il existe de nombreux vecteurs d’attaque différents permettant d’introduire des ransomwares dans les environnements, si bien qu’aucune solution ni technologie ne peut garantir une protection à 100% contre eux. La justice n’est pas en capacité d’identifier, de poursuivre et de juger suffisamment de cybercriminels pour dissuader de nouvelles tentatives. Même avec des programmes de sauvegarde matures, la rapidité de restauration des opérations des entreprises n’est pas suffisante pour compenser l’impact des attaques.
Il convient d’aborder les menaces différemment, de mieux se préparer en amont et de s’organiser pour réagir en cas d’attaque. À chacun de bien appréhender ses propres systèmes, d’adopter un plan d’intervention spécifique aux ransomwares et de faire preuve de créativité pour se doter de sauvegardes robustes, hiérarchisées sur plusieurs niveaux.
Enfin, les entreprises doivent intégrer le fait qu’elles seront un jour ou l’autre victimes de ransomwares. Toutes devraient avoir une sorte de « coupe-circuit » pour désactiver tous les systèmes et instaurer une sorte de confinement en cas d’attaque. Ce n’est pas le cas aujourd’hui et nous en déplorons les effets.
Les cybercriminels ne sont pas prêts à lâcher le filon rentable des ransomwares. Cette année, le modèle a évolué pour inclure l’extorsion de données par exfiltration d’information. On a pu observer des versements records de rançons. Et il faut s’attendre à voir apparaître de nouveaux paradigmes d’extorsion d’argent en 2022. Les entreprises vont bientôt voir circuler des ransomwares davantage personnalisés impliquant différents types d’actifs, comme ceux de l’IoT, ainsi que des initiés au sein des entreprises. Il est possible que l’on voit des tentatives de divulgation ciblée d’informations exfiltrées à destination d’acheteurs spécifiques. Les conditions de paiement deviendront plus flexibles : au lieu de versements uniques, des échéanciers pourront être convenus et les cybercriminels déchiffreront les actifs au gré des règlements.