Les paiements de rançons et la fuite de données vers le Darkweb ont battu des records en 2021.Alors que les sites de double extorsion et de fuite sont la nouvelle normalité pour les familles de ransomware émergentes, la France se situe dans le peloton de tête des pays les plus touchés.
En 2021, les paiements liés à des rançongiciels ont battu de nouveaux records alors que, pour faire pression sur leurs victimes, les cybercriminels se sont tournés vers des moyens de pression comme la double extorsion et la publication des données volées sur le Darkweb. Dans une étude publiée récemment, The 2022 Unit 42 Ransomware Threat Report, les chercheurs de Unit42 Threat Intelligence révèlent qu’en 2021, les gangs de rançongiciels ont porté ces tactiques à un niveau supérieur, en popularisant des techniques de multiextorsion conçues pour intimider. « Par exemple, nous avons vu des gangs passer des appels téléphoniques menaçants à des employés et à des clients et lancer des attaques par déni de service (DoS) pour fermer le site web d’une victime dans le but de l’inciter à payer », expliquent-ils.
2021 a également été celle de la croissance de l’« offre de services » des opérateurs de ransomware-as-a-service (RaaS). Apparus comme une génération spontanée, ils offrent un large éventail d’outils et de services faciles à utiliser et qui rendent le lancement d’attaques de ransomware presque « aussi simple que d’utiliser un site d’enchères en ligne ». D’après le rapport, la demande moyenne de rançon dans les cas rencontrés par les consultants en cybersécurité de Unit 42 a augmenté de 144 % en 2021 pour atteindre 2,2 millions de dollars. Pendant ce temps, le montant moyen des rançons a grimpé de 78 % pour s’élever à 541 010 dollars.
La France, cible de choix… aussi
Personne n’est à l’abri des attaques, mais l’Europe et les Amériques (Nord et Sud confondus) sont les régions les plus sinistrées selon le rapport, très loin devant la région Asie-Pacifique. Les Amériques occupent la première position avec 60 % des victimes répertoriées. La région EMEA (Europe, Moyen-Orient et Afrique) est loin derrière avec 31 % des victimes. L’Asie-Pacifique ferme la marche avec 9 % des compromissions. Rappelons que ces statistiques reposent sur l’analyse des sites publiant des données volées, ils répertorient donc les attaques réussies.
L’examen par pays place la France à la seconde place européenne (devant l’Allemagne, l’Italie et l’Espagne)et à la quatrième place mondiale des cibles. Parmi les secteurs les plus touchés dans l’hexagone, les services professionnels et les cabinets juridiques (49 %), l’industrie (32 %) et le secteur manufacturier (21 %), la construction (19 %) et la distribution (9 %). Les États-Unis sont le pays le plus touché par les violations de données : les organisations américaines représentant 49 % des données des sites de fuite, suivies du Canada et du Royaume-Uni et de la France avec 5 % chacun.
Dans cet environnement troublé par la pandémie et les divers problèmes qui en ont découlé (pénuries, rupture des chaînes d’approvisionnement…), la rapacité des cybermalfaiteurs s’est aiguisée avec les succès. Bien qu’il soit généralement conseillé de ne pas payer la rançon, les effets prolongés d’un arrêt de fonctionnement peuvent obliger les organisations à payer pour rétablir les opérations. Une étude canadienne citée par le rapport a révélé que parmi les entreprises touchées par un rançongiciel, une majorité (58 %) des décideurs informatiques déclare avoir payé la rançon, et 14 % d’entre eux affirment que leur organisation a payé plus d’une fois.
Calcul des dommages et coûts induits
Ces coûts sont à additionner aux coûts induits par l’attaque. En plus de la rançon, d’autres coûts induits doivent être pris en compte dans le calcul des dommages : les coûts associés à tout temps d’arrêt ou à toute perturbation de l’activité ; l’impact de la violation sur la réputation de la marque de l’entreprise ; le temps passé par le personnel informatique à traiter l’incident ; les frais juridiques encourus pour faire face aux retombées(réglementation et conformité), et plus particulièrement, toute perte de données qui peut déclencher un effet en cascade (attaque sur la chaîne d’approvisionnement par exemple).
L’étude canadienne a aussi révélé que, si 41 % des entreprises victimes d’une attaque par rançongiciel ont pu se rétablir en moins d’un mois, 58 % ont mis plus d’un mois. Plus le temps passe, plus certaines entreprises travaillent à leur rétablissement : 29 % des entreprises interrogées attaquées par un ransomware ont mis plus de trois mois, et 9 % ont déclaré qu’il leur a fallu plus de cinq à six mois pour revenir à la normale.