Les ransomwares sont devenus de plus en plus faciles à trouver et sont disponibles dans de nombreux formats ciblant plusieurs plates-formes. Le « rapport 2021 sur les ransomwares » de Palo Alto Networks confirme que ces attaques sont trèsrentables.
En 2020, le montant moyen des rançons payées par les entreprises a presque triplé (de 115 123 $ en 2019 à 312 393 $ en 2020). La plus haute rançon payée a doublé (de 5 millions de dollars en 2019 à 10 millions de dollars en 2020) ainsi que la plus haute demande de rançon (passant de 15 millions de dollars en 2019 à 30 millions en 2020).
Les auteurs du rapport de Palo Alto Networks rappellent également que les demandes de rançon Maze en 2020 s'élevaient en moyenne à 4,8 millions de dollars, une augmentation significative par rapport à la moyenne de 847 344 dollars pour toutes les familles de ransomwares en 2020.
Le modèle « stay and play »
Les cybercriminels savent qu'ils peuvent gagner de l'argent avec les ransomwares et continuent à devenir plus audacieux et ambitieux avec leurs demandes. Les équipes de Palo Alto Networks notent en particulier un point de bascule d’un modèle d’attaque à fort volume, « spray and pray » à un modèle plus ciblé « stay and play ».
Les cybercriminels prennent leur temps pour (mieux) connaître les victimes et leurs réseaux, en suivant une approche de pénétration du réseau plus traditionnelle. Résultat, la double extorsion est en hausse.
Au moins 16 variantes de ransomwares ciblent désormais les victimes en chiffrant leurs données, mais également en les volant ou en menaçant de les dévoiler. Le gang de cyber-rançonneurs « NetWalker » a le plus utilisé cette tactique, en ayant fait fuiter les données de 113 sociétés au niveau mondial.
Si la victime ne paie pas la rançon, les opérateurs de ransomware divulguent alors les données sur un site de fuite ou un domaine du dark web, la majorité des sites de fuite étant hébergés sur le dark web.
Parmi les autres découvertes de ce rapport, citons un découpage par secteur montrant que la santé a été l’industrie la plus ciblée en 2020 avec une forte croissance du modèle des RaaS.
Les cybercriminels ont bien compris que les ransomwares, en particulier le modèle par abonnement aussi appelé « ransomwares as a service (RaaS) », sont simples à exécuter, très efficaces et rentables, que ce soit pour des paiements directs et de la vente d'informations précieuses.
Le modèle RaaS permet aux affiliés d'utiliser un logiciel de rançon existant pour mener des attaques, gagnant ainsi un pourcentage de chaque paiement de rançon réussi.
En plus des ransomwares observés sur Microsoft Windows, Apple macOS et les systèmes d'exploitation mobiles, le rapport constate que Linux est également ciblé.
Les secteurs les plus touchés par les ransomwares sont la santé, l’industrie et la finance. En France, les industries impactées sont les suivantes :
Palo alto rappelle que les formes les plus efficaces de protection contre les ransomwares sont la sécurité des points de terminaison, le filtrage des URL ou la protection du Web, la prévention des menaces avancées (menaces inconnues/sandboxing) et les solutions antiphishing déployées dans tous les environnements et appareils de l'entreprise.
