L’attaque WannaCry de 2017 était la première du genre - une attaque mondiale, commanditée par un État et multi-vecteurs. Pourtant, la première demande de rançon n’était que de 300 dollars. Si cette attaque n’a pas été une pionnière en termes de rentabilité, elle l’a été en marquant les débuts de l’utilisation politique du ransomware. Au cours des cinq dernières années, les opérations de ransomware sont passées d’emails aléatoires à des entreprises multimillionnaires, telles que NotPetya, REvil, Conti et DarkSide, menant des attaques ciblées et sophistiquées qui affectent les organisations de tous les secteurs. La demande de rançon à laquelle Kaseya était confrontée en 2021 s’élèverait à 70 millions de dollars.

La montée de la double et triple extorsion

Le télétravail, le travail hybride et l’adoption accélérée du cloud ont laissé la porte ouverte aux attaquants de ransomware. Ces attaques gagnent en sophistication avec de nouvelles tendances comme le Ransomware-as-a-Service, la double et même triple extorsion. Les cybercriminels menacent de publier des informations privées dans les cas de double extorsion et exigent une rançon à la fois de l’organisation infectée et de ses clients, partenaires et fournisseurs en cas de triple extorsion.

Attaques contre les gouvernements et les infrastructures essentielles

Il y a quelques jours, le Costa Rica et le Pérou ont été victimes de deux attaques massives de ransomware. Il semble que les deux ont été exécutées par le tristement célèbre gang de ransomware Conti. Les attaques ont conduit le gouvernement du Costa Rica à déclarer l’état d’urgence le 6 mai dernier. Le montant estimé des pertes s’élève à 200 millions de dollars car elle a provoqué une paralysie des services douaniers et des agences gouvernementales, et a même entraîné une coupure de courant dans l’une de ses villes à cause de l’impact sur un fournisseur d’énergie principal. L’une des attaques par ransomware sur des infrastructures essentielles les plus médiatisées de ces dernières années a été celle de Colonial Pipeline.

Chaque entreprise est une cible

Bien que les gouvernements et les grandes entreprises fassent souvent les gros titres, les acteurs de ransomware ne font aucune différence et ciblent des entreprises de toutes tailles dans tous les secteurs. Pour se protéger, les équipes informatiques doivent donner la priorité à la prévention. Elles doivent surveiller tout signe de cheval de Troie sur leurs réseaux, mettre régulièrement à jour leur logiciel anti-virus, corriger de manière proactive les vulnérabilités RDP (Remote Desktop Protocol) pertinentes et utiliser l’authentification à deux facteurs. De plus, les organisations devraient déployer des solutions anti-ransomware qui surveillent en permanence les comportements spécifiques aux ransomwares et identifient le cryptage illégitime des fichiers, de sorte qu’une infection puisse être évitée et mise en quarantaine avant qu’elle ne s’installe. Avec ces protections en place, les organisations peuvent être mieux préparées en cas d’attaque, car dans le climat actuel, il s’agit de savoir quand plutôt que si.

Pour marquer le cinquième anniversaire de l’attaque WannaCry, Check Point a créé un hub de ransomware avec des rapports, blogs, webinaires, podcasts, vidéos et statistiques en direct sur les attaques de ransomware et leur impact.