En 2022, les entreprises doivent redoubler d’efforts pour affronter les ransomwares

John Shier, senior security advisor, chez Sophos partage son expertise.

Dans le paysage des cybermenaces, cette constatation inquiétante entérine le fait que les cybercriminels continuent de privilégier les attaques par ransomwares. Si 2021 peut être considérée comme une année emblématique en termes de nombre d’attaques par ransomwares, les prévisions pour 2022 ne semblent pas meilleures. Selon une étude de Vanson Bourne, les motifs d’engagement en matière de réponse aux incidents en 2020-2021 concernaient des ransomwares dans 79% des cas. Il est donc primordial pour les entreprises d’organiser une stratégie de défense afin d’empêcher ces attaques de proliférer.

Les techniques des cyber malfaiteurs sont de plus en plus élaborées…

Auparavant, les acteurs malveillants suivaient des processus uniques, produisaient leurs propres ransomwares et opéraient eux-mêmes les attaques. Depuis peu, on observe une évolution du mode opératoire des assaillants: désormais ils élaborent des rançongiciels qu’ils peuvent ensuite louer comme n’importe quel produit ou service. Ce nouveau business model RaaS (ou Ransomware-as-a-Service) est déjà bien implémenté. Il favorise le développement et l’amélioration des produits et rend ainsi les partenaires, spécialistes en effraction plus productifs. Selon une étude du cabinet Vanson Bourne, au sein des familles de ransomwares étudiées, le taux de contamination de Conti illustre parfaitement l’essor du modèle RaaS. Il est à noter que Conti et Ryuk (28 %), ainsi qu’Everest (15 %) et Lockbit 2.0 (10 %) font partie des groupes les plus actifs en termes d’attaques par ransomwares, notamment contre les entreprises de l’hexagone.

Face à ce modèle de ransomware, il devient de plus en plus difficile d’identifier l’origine d’une attaque. Il permet de cibler de plus grandes entreprises en toute impunité et de pénétrer au sein des systèmes de sécurité les plus sophistiqués. Les secteurs de l’assurance et de la finance arrivent en tête des secteurs les plus ciblés, suivis de près par l’industrie et le retail. Par ailleurs, il a également ouvert la voie à une expansion de l’extorsion. Selon Forrester, si les attaques par ransomware se multiplient à un rythme soutenu, à raison d’une attaque toutes les 11 secondes, c’est également le cas des demandes de rançons, qui ont augmenté de 300 % en seulement une année et continuent de progresser.

Les méthodes traditionnelles qui reposent sur la demande de rançons et l’échange de clés de déchiffrement sont toujours très lucratives, cependant, de plus en plus d’entreprises font le choix de ne pas payer, notamment grâce à la mise en place d’un système de défense efficace qui permet de récupérer les données. Malgré cela, les criminels ont su trouver la parade en mettant à profit le temps d’accès sur le serveur de l’entreprise piratée afin de collecter les données sensibles pour les acheminer vers leur propre base de données. Ainsi, ils gardent le contrôle de la situation et renouvellent leur menace en ajoutant une nouvelle clause. Dès lors, les entreprises doivent payer la rançon ou les données sensibles seront révélées au grand jour.

Dans un contexte où les attaquants semblent prêts à parer à toutes les éventualités, les entreprises sont-elles condamnées à rester des victimes, ou existe-t-il un moyen de déjouer les attaques et les demandes de rançon ?