Au cours des 12 derniers mois, 30 % des demandes de rançon ont dépassé les 30 millions de dollars, mais les victimes qui ont négocié ont pu faire baisser considérablement les demandes.
Un nouveau rapport publié par Barracuda confirme l’impact majeur des attaques reposant sur des ransomwares. Entre août 2020 et juillet dernier, les chercheurs de la société de sécurité ont identifié et analysé 121 incidents de ransomware, soit une augmentation de 64 % par rapport à l'année précédente.
30 % d’entre eux ont donné lieu à des demandes de rançon de 30 millions de dollars ou plus. 6 % ont atteint les 50 millions de dollars. Les montants ne cessent d’augmenter.
Alors que les administrations municipales, les secteurs de la santé et de l'éducation continuent d'être fortement ciblés, Barracuda a constaté une augmentation inquiétante des attaques de ransomware sur des organisations dans des secteurs auparavant moins ciblés, tels que les services financiers, les voyages et les infrastructures.
Les cyberattaques touchant ces organisations ont représenté 57 % de toutes les attaques de ransomware que Barracuda a analysées au cours des 12 derniers mois, contre seulement 18 % l'année précédente.
Baisse de 50 % de la rançon
Le montant de la rançon versée varie souvent en fonction de la négociation. Pour les incidents dont Barracuda a eu connaissance, la réduction du montant de la rançon est significative (supérieure à 50 %) lorsque les organisations négocient.
Le fournisseur de sécurité a constaté que les opérateurs de ransomware se concentrent de plus en plus sur les attaques de la supply chain qui est un rouage essentiel, telles que celles visant les fournisseurs de logiciels de confiance et les fournisseurs de services informatiques, dans le but de compromettre plusieurs organisations via une seule attaque.
L'exemple le plus récent et spectaculaire a été celui de Kaseya en juillet, qui a entraîné le déploiement d'un ransomware sur plusieurs des clients fournisseurs de services gérés en aval de l'entreprise.
Autre constat, « les attaques sont de plus en plus sophistiquées. Mais les campagnes de phishing, où les pirates récupèrent des informations d'identification de la victime, sont restées le vecteur d'infection initial le plus courant », explique Fleming Shi, directeur de la technologie chez Barracuda.
Ce rapport précise également qu'une poignée de bandes organisées a été responsables de la plupart des opérations malveillantes reposant sur des ransomwares.
Successions des groupes criminels
Deux des groupes les plus prolifiques sont les opérateurs de REvil, qui ont été à l'origine de 19 % de toutes les attaques rencontrées par Barracuda, et DarkSide, le groupe à l'origine de l'attaque Colonial Pipeline, qui a été à l'origine de 8 % de toutes les attaques.
Comme on pouvait s'y attendre, même si les forces de l'ordre et le gouvernement ont réussi à perturber les opérations majeures de ransomware au cours des dernières années, les attaquants ont continué à faire évoluer leurs tactiques.
Enfin, la disparition récente de plusieurs grands groupes de ransomware n'a guère contribué à ralentir les attaques de ransomware. « Tant qu'il y aura un commerce dans les attaques de ransomware, il y aura des successions des groupes criminels », rappelle Fleming Shi.