À l’occasion du mois européen de la cybersécurité, Sophos propose une rétrospective des principales attaques des dix dernières années. Faire le bilan de dix années de cyberattaques pour établir un palmarès des maliciels les plus marquants de cette période, c’est comme établir un classement des mafieux qui ont marqué l’histoire. Heureusement que les critères applicables aux premiers sont purement techniques, alors que ceux des seconds relèvent plutôt du décompte sordide, voire macabre.
Certains maliciels ont donc marqué les esprits par l’ingéniosité de leur fonctionnement pour paralyser des systèmes entiers. Sophos a choisi de retenir trois logiciels malveillants reconnus pour leur redoutable efficacité, et qui illustrent le perfectionnement des attaques au cours de la dernière décennie : WannaCry, SamSam et Emotet.
Le podium des maliciels de la décennie
Emotet, qui fait sa première apparition en 2014, reste la cybermenace la plus importante en termes d’efficacité et de nombre de victimes. Ce maliciel a sévi pendant plusieurs années, et ce, jusqu’à l’année dernière, en frappant notamment la ville de Francfort. Une fois à l’intérieur du SI d’une organisation, Emotet peut se répandre rapidement et infecter entièrement le SI pour exfiltrer ses données (adresses de courriels, archives des clients, etc.). Il peut également servir de vecteur d’attaques ciblées par rançongiciel. Ainsi, alors que les entreprises sont infectées par Emotet, les ransomwares se déploient pour prendre leurs données en otage.
SamSam est un rançongiciel né en 2015. S’il est moins connu du grand public que les autres rançongiciels, il est pour sa part tout aussi redoutable, puisqu’il totalise près de 6 millions de dollars en demandes de rançons. Toutefois, il diffère de la majorité des rançongiciels par la manière dont il est utilisé dans les attaques furtives ciblées ou opportunistes. Il agit par le biais d’attaques personnalisées menées par une équipe ou une personne expérimentée qui pénètre dans le réseau de la victime, l’analyse, puis l’exécute manuellement en tenant compte de l’environnement et des défenses en place.
Enfin, cette liste ne serait pas complète sans le vénérable marle WannaCry, qui a sévi à grande échelle pour la première fois en mai 2017 et a été l’un des premiers à utiliser l’exploit EternalBlue pour une attaque à grande échelle. Plus de deux ans après la première attaque, la menace WannaCry reste active et sa présence peut être détectée plusieurs millions de fois chaque mois. La particularité de ce marle réside dans les variantes qui ont depuis été publiées, et qui se comptent par milliers. Ainsi, alors que le Wannacry d’origine n’a été détecté que 40 fois, les chercheurs de Sophos ont depuis identifié jusqu’à 12 480 variantes du code d’origine, dont la plupart ne fonctionnent pas.