La nature changeante de la menace des ransomwares
Ce n'est un secret pour personne, les ransomwares explosent depuis l'an dernier. De nombreuses études - qui varient d'une année à l'autre - en ont déjà fait état, notamment le cabinet de recherche sur les blockchains, Chainalysis, qui a enregistré une hausse de 311% des revenus tirés des ransomwares en 2020. Quel que soit le chiffre réel, c'est une menace qui prend de l'ampleur, et les entreprises et organisations de toutes tailles, publiques et privées, en ont désormais pleinement conscience.
Les raisons de l'augmentation du nombre de ransomwares sont multiples. Mais dire que c’est uniquement lié à la crise sanitaire et au télétravail serait faux. Bien sûr, la pandémie, les différents confinements et les promesses de vaccin y ont contribué mais rien de tout cela n'explique cette "banalisation" des ransomwares.
Pourquoi les attaques par ransomware sont-elles de plus en plus fréquentes ? Trois raisons principales expliquent cette prolifération :
- Ce type d’attaque n’est plus réservée aux experts
Les plateformes de Ransomware-as-a-Service (RaaS), qui deviennent de plus en plus populaires et faciles d’accès, permettent à n’importe quel acteur malveillant, même novice, d'accéder à des outils complexes et à l'environnement à partir duquel il peut diffuser ses campagnes. Des programmes d'affiliation et de partenariat sont également mis en place, de manière très audacieuse. Des opérateurs tels que Sodinokibi/REvil, NetWalker et Nefilim concluent des alliances qui aboutissent sur des accords de partage des bénéfices convenus à l'avance.
- Les ransomwares sont rentables
Du fait de la popularisation de ce type d’attaque, les activités liées aux ransomwares sont désormais plus efficaces et évoluent plus rapidement. L'essor du RaaS permet aux ransomwares, qui n’étaient auparavant opérés que par certains acteurs malveillants, d’être à la portée de tous et surtout de devenir extrêmement rentables.
- Les acteurs malveillants se professionnalisent
On constate une augmentation des investissements sur de nombreuses plateformes, qui mettent à niveau leurs systèmes de ransomware pour tenter de garder une longueur d'avance et d'échapper à la détection.
La nature changeante des ransomwares... et des opérateurs de ransomwares
D'autres éléments sont à prendre en compte. La récente violation de données FatFace a mis en évidence les négociations qui s’engagent désormais entre les attaquants et les victimes, la rançon ayant été activement négociée pour passer de 8 à 2 millions de dollars. Il est intéressant de noter que le chiffre initial a été déterminé par les attaquants, car ils avaient constaté que FatFace avait souscrit une cyberassurance d'un montant de 7,5 millions de livres sterling.
Mais comment ont-ils défini ce chiffre ? Dans ce qui peut être décrit comme une attaque multicanale, dotée d’un semblant d’éthique de la part de quelques hackers, un groupe d’attaquants a déclaré qu'il ciblait désormais les entreprises ayant une cyberassurance. Cette déclaration aurait été suivie peu après par une attaque connexe (mais non confirmée) contre un important fournisseur de...cyberassurance !
Un dernier élément à prendre en compte est la montée en pression de ces attaques. En 1989, lorsque le premier ransomware a été découvert, AIDS/COP Trojan (le cheval de Troie SIDA), le Dr Joseph Popp, son créateur, a demandé à ce que 189 dollars soient envoyés à une boîte postale au Panama. Après son arrestation, il a finalement été relaxé car considéré inapte psychologiquement mais s'est engagé à verser tout l'argent gagné à la recherche contre le sida. Des déclarations et des activités aussi altruistes n’arriveraient certainement plus de nos jours !
Autre différence notable entre les ransomwares d’hier et d’aujourd’hui, désormais tous les coups sont permis lorsqu'il s'agit d'obtenir de l'argent. Les criminels menacent désormais de divulguer les données volées si un paiement n'est pas effectué (ce qu'ils font souvent d’ailleurs) et peuvent par ailleurs communiquer publiquement sur le vol de données, portant un second coup à l’entreprise pour l’obliger à payer.
Comme si cela ne suffisait pas, des cybercriminels ont dernièrement contacté les patients d'un prestataire de soins de santé finlandais (victime d'une attaque par ransomware) et les ont menacés de divulguer leurs dossiers médicaux s'ils ne payaient pas eux aussi une rançon.
De nos jours, les cybercriminels utilisent tous les moyens de pression dont ils disposent pour maximiser les profits et le retour sur investissement. En fait, ils utilisent des déclencheurs financiers et émotionnels pour s'assurer que la victime n'a d’autre choix que de payer, et ce rapidement. De fait les attaques par ransomware ne causent plus seulement des dommages financiers et un problème d’image de marque aux entreprises mais elles visent également les individus financièrement et émotionnellement, ce qui entraîne toutes sortes de dommages à long terme.
Dans ce contexte, on peut affirmer que les ransomwares d'aujourd'hui n'ont plus rien à voir avec ceux d’hier. Ils sont passé de l’expérimentation au malveillant, de la collecte de fonds au procédé industriel, et de l'occupation pour tromper l’ennui à de l'activité insidieuse. Les cybercriminels ont désormais une approche stratégique, commerciale et sont plus motivés que jamais. Il semble ne plus y avoir de répit pour les ransomwares…