Les ransomwares restent la principale menace des entreprises en 2022

Si les cyber-attaquants ont recours à des techniques de plus en plus sophistiquées, le business model du RaaS n'est pas totalement imparable, une bonne nouvelle pour les entreprises !

Au cours de ces dernières années, les attaques par ransomwares n’ont cessé de se développer et de gagner en intensité. De plus en plus d’entreprises ont été prises pour cible au cours de l’année 2021, le nombre d’attaques a atteint des sommets avec une entreprise ciblée tous les deux jours en France et plus de 200 victimes entre août et novembre. Un record qui pourrait bien doubler en 2022 !(1) 

Ce constat alarmant illustre le fait que les ransomwares restent l’une des armes majoritaires de l’arsenal cybercriminel et continuent de dominer le paysage des cybermenaces. Si 2021 peut être considérée comme une année symbolique en matière de nombre d’attaques par ransomware, 2022 n’aura très certainement rien à lui envier. La multiplication des attaques « par rebond » c’est-à-dire des cyberattaques qui se propagent d’une entreprise à l’autre, un phénomène de plus en plus courant couplé à l’entrée en scène d’un nouveau business model plus performant mis au point par des acteurs malveillants augurent d’une très forte progression des attaques par ransomwares cette année, mais également au-delà. Ainsi, selon un rapport de Vanson Bourne, les motifs d’engagement en matière de réponse aux incidents en 2020-2021 concernait des ransomwares dans 79% des cas. Il est donc plus que nécessaire pour les entreprises de définir les stratégies et de les mettre en place pour empêcher ces attaques de proliférer.

Les attaquants ont recours à des techniques de plus en plus sophistiquées …

Auparavant, les acteurs malveillants suivaient des modes opératoires uniques, créaient leurs propres ransomwares et lançaient eux-mêmes leurs attaques. Mais depuis peu, les assaillants ont adopté un modus operandi différent : créer des ransomwares et louer leurs produits et leurs services à des spécialistes de l’entrée par effraction virtuelle. Ce nouveau business model RaaS (ou Ransomware-as-a-Service) déjà bien établi permet aux experts en ransomwares de développer et d’améliorer leurs produits et de rendre ainsi leurs partenaires, spécialistes en effraction, plus productifs. Selon un rapport de Vanson Bourne, parmi les familles de ransomware étudiées, le taux d’infection de Conti illustre parfaitement cette une expansion du modèle RaaS. il a été observé que Conti et Ryuk (28%), ainsi qu’Everest (15%) et Lockbit 2.0 (10%) sont les groupes les plus virulents et les plus enclins à mener des attaques par ransomware contre les entreprises françaises.

Ce modèle de RaaS permet de lancer des attaques contre de plus grandes entreprises en toute impunité (puisqu’il rend difficile la possibilité d’identifier l’origine d’une attaque) et de pénétrer au sein des systèmes de sécurité les plus élaborés. Parmi les secteurs ciblés, la finance et l'assurance arrivent en tête, suivies des services, du commerce et de l'industrie. 

Le modèle RaaS a également ouvert la voie à une expansion de l’extorsion. Selon Forrester, si les attaques par ransomware gagnent déjà en intensité (une attaque par ransomware se produit toutes les 11 secondes) les demandes de rançons ont augmenté de 300% en seulement une année, et continue de progresser.

Si la menace initiale qui consiste à demander une rançon en échange de clés de déchiffrement fait toujours recette, certaines entreprises font le choix de ne pas payer, car elles ont mis en place des défenses efficaces pour préserver leurs données. Néanmoins, les attaquants ont su trouver la parade en profitant généralement du temps d’accès au réseau de l’entreprise piratée pour récupérer toutes les données sensibles et les transférer vers leur propre cloud. En usant de ce stratagème, les acteurs malveillants redeviennent ainsi maîtres de la situation et réitèrent leur menace en ajoutant une nouvelle condition : si les entreprises refusent de payer la rançon, elles verront toutes leurs données sensibles diffusées sur Internet. Les entreprises se retrouvent alors contraintes de payer la rançon.

Les acteurs malveillants semblent prêts à parer à toutes les éventualités. Les entreprises sont-elles réellement condamnées à être victimes de ces attaques par ransomware, ou existe-t-il un moyen de contrecarrer ces effractions et les demandes de rançon ?

… qui ne sont pas complètement imparables

Malgré cette montée en puissance des attaques par ransomware, il existe pour les entreprises des moyens de les déjouer et d’éviter de perdre à la fois en productivité et de payer une rançon. Plusieurs étapes permettent de limiter les conséquences de ce fléau : tout d’abord, il est essentiel d’effectuer des sauvegardes de ses données qui peuvent être chiffrées lors d’une attaque. Il convient ensuite de faire appel à une entreprise spécialisée dans la sauvegarde dans le cloud afin de conserver les données et les systèmes clonés. Ainsi, lorsqu’une attaque se produit, les entreprises sont en mesure de poursuivre leurs activités à partir des données et des sauvegardes restaurées. L’impact sur le travail est alors minime et les éventuelles pertes engendrées sont tout à fait surmontables.

En outre, pour pouvoir se tenir à jour des potentiels changements dans le paysage cybercriminel, les experts en sécurité doivent être constamment aux aguets et s’emparer de toute information susceptible de les aider à perfectionner leurs solutions. C’est ce qui s’est passé en 2021, avec la divulgation publique de documents confidentiels et d’outils utilisés par l’organisation cybercriminelle Conti par un partenaire mécontent, qui exposait les méthodes d’attaque et le business model du groupe. Les experts ont ainsi pu s’engouffrer dans cette faille et exploiter les données récoltées pour concevoir et développer un système de sécurité renforcé. Cette solution permet d’alerter immédiatement les clients et les administrateurs dès que des signes annonciateurs d'une attaque sont détectés.

Le business model du RaaS n’est pas complètement imparable, et grâce aux publications fréquentes concernant les méthodes d’attaques et autres moyens de contrecarrer ces attaques par ransomware, les cyberattaquants peuvent être mis en échec. Toutefois, les entreprises doivent veiller à renforcer constamment leur sécurité et faire preuve de vigilance. Selon une étude de Gartner, il a été révélé que d’ici 2025, de nouvelles législations seront mises en place pour réglementer les paiements de rançons dus aux ransomwares, ainsi que les amendes et les négociations. Gartner indique que 30% des États s’apprêtent à faire adopter de telles réglementations, alors qu’ils n’étaient encore que 1% en 2021. Même si la volonté de lutter contre les ransomwares est une préoccupation quotidienne des entreprises et des gouvernements, tous doivent être conscients de l’évolution de ces attaques pour concevoir des réponses toujours plus sophistiquées.

(1) Source : ANOZR WAY - Baromètre du Ransomware (bilan annuel 2021 et perspectives 2022)