Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport sur les menaces de ransomwares de l’Unit 42, mise à jour du 1er semestre 2021

août 2021 par Unit 42

Cette année, les crises cyber liées aux ransomwares se sont intensifiées avec la mise en œuvre par les cybercriminels de nouvelles techniques sournoises d’extorsion, d’outils de piratage améliorés et de modèles économiques affinés. Dans ce secteur, les rançons réclamées ont battu de nouveaux records en 2020.

Une tendance qui se confirme et est documentée dans ce nouveau rapport de l’Unit 42, la division conseil en cybersécurité de Palo Alto Networks qui s’est penchée sur les dizaines de cas étudiés par ses consultants et chercheurs spécialisés dans l’analyse menaces au cours du premier semestre 2021.

Les principales conclusions :
• Le montant moyen des demandes de rançons a grimpé pour passer à 5,3 M$ au premier semestre 2021 — soit un bond de 518 % par rapport aux chiffres observés par l’Unit 42 sur l’ensemble de l’année 2020.
• La rançon moyenne versée s’élevait à 570 000 $, en hausse de 82 % par rapport à 2020.
• Pour les consultants d’Unit 42, « la quadruple extorsion » est en plein essor. Ce phénomène désigne les quatre stratégies utilisées par les pirates pour convaincre leurs victimes de payer. Ce nouveau scénario marque une intensification de la pression exercée par les cybercriminels qui, en 2020, n’utilisaient que deux méthodes.

La rançon moyenne versée à la suite d’une attaque par ransomware a progressé de 82 % pour atteindre le chiffre record de 570 000 $ au premier semestre 2021. Les tactiques employées par les cybercriminels sont en effet de plus en plus agressives pour contraindre les organisations à payer davantage. Cette hausse survient après l’augmentation de 171 % déjà constatée l’an dernier de la rançon moyenne versée, qui avait franchi la barre des 312 000 $. Ces chiffres, compilés par la division de conseil en cybersécurité de l’Unit 42, quantifient ce que nous sommes déjà nombreux à savoir : la crise des ransomwares continue à s’intensifier à mesure que les entreprises criminelles investissent davantage dans des opérations extrêmement lucratives basées sur des rançongiciels.

Il suffisait déjà de suivre l’actualité pour savoir que le phénomène s’aggravait, et nous étions déjà nombreux à en avoir fait personnellement l’expérience. Verrouillage de l’accès à nos ordinateurs, augmentation du prix de la viande, pénuries d’essence, fermetures d’écoles, retards dans les affaires judiciaires, impossibilité pour certains d’entre nous de faire inspecter nos véhicules et refus de prise en charge de patients dans certains hôpitaux, les conséquences des attaques par ransomware étaient multiples.

Essor de la quadruple extorsion

L’essor de la « quadruple extorsion » est préoccupant. La tendance a été identifiée par les consultants d’Unit 42 lorsqu’ils ont traité plusieurs dizaines de cas de ransomwares au premier semestre 2021. Il est désormais fréquent de voir les exploitants de rançongiciels combiner jusqu’à quatre techniques pour faire pression sur les victimes et les pousser à payer :

1. Chiffrement : les victimes paient pour retrouver l’accès à leurs données brouillées et systèmes informatiques compromis qui ne fonctionnent plus à cause du chiffrement de certains fichiers clés.
2. Vol de données : les pirates dévoilent des informations sensibles si la rançon n’est pas payée. (La tendance a réellement explosé en 2020.)
3. Déni de service (DoS) : les gangs de rançongiciels lancent des attaques par déni de service qui font tomber les sites Web publics de leurs victimes.
4. Harcèlement : les cybercriminels contactent les clients, les partenaires commerciaux, les employés et les médias pour les informer du piratage de l’organisation.

S’il est rare qu’une organisation soit victime de ces quatre techniques, nous avons noté cette année que les gangs de cybercriminels mobilisaient des méthodes supplémentaires lorsque ni le chiffrement ni le vol de données ne suffisaient à faire payer les victimes. C’est deux fois plus que ce qu’indique le Rapport Ransomware 2021 d’Unit 42 qui signalait l’émergence du double chiffrement comme l’une des nouvelles tendances en 2020. L’adoption de ces nouveaux scénarios d’extorsion a stimulé l’avidité des gangs de ransomwares. Le montant moyen des rançons réclamées a bondi de 518 % au premier semestre 2021 pour atteindre 5,3 M$ — contre 847 000 $ en moyenne en 2020.

Nos consultants ont observé un nouveau record pour les demandes de rançon sur une victime unique. Il s’établit à 50 M$ au premier semestre 2021, contre 30 M$ l’an dernier. REvil a en outre récemment testé un nouveau scénario en proposant de fournir une clé de déchiffrement universelle à toutes les organisations touchées par l’attaque Kaseya, moyennant le paiement de 70 M$ — avant de rapidement revoir ce montant à la baisse, pour demander 50 M$. Kaseya a fini par obtenir une clé de déchiffrement universelle, mais on ignore quelle somme a été versée — si paiement il y a eu.

Jusqu’ici cette année, les 11 M$ payés par JBS SA après une attaque d’envergure essuyée en juin 2021 représentaient la plus grosse rançon versée, alors que le record était de 10 M$ en 2020.

Ransomwares : quelles perspectives ?

La crise des ransomwares devrait continuer à monter en puissance au cours des prochains mois. Les groupes derrière les rançongiciels continuent en effet à perfectionner leurs tactiques pour renforcer leur pouvoir coercitif sur leurs victimes et les convaincre de payer. Ils développent également de nouvelles méthodes pour décupler le potentiel de déstabilisation de leurs attaques. L’Unit42 a ainsi commencé à voir que certains gangs chiffrent un type de logiciel d’infrastructure essentiel, l’hyperviseur, avec le risque de corrompre plusieurs instances virtuelles qui s’exécutent sur un seul serveur. L’Unit42 estime que les hyperviseurs, mais aussi d’autres logiciels d’infrastructures managées, seront davantage pris pour cibles. Au lendemain de l’attaque contre le logiciel de gestion de parc à distance, Kaseya, qui a permis de diffuser des ransomwares aux clients des fournisseurs de services gérés (MSP, Managed Service Providers), l’Unit42 anticipe une augmentation des attaques contre ces sociétés d’infogérance — et leurs clients.

Si les rançons devaient poursuivre leur trajectoire ascendante, le bas du marché devrait continuer à intéresser les gangs qui ciblent régulièrement les petites entreprises sans gros moyens pour investir lourdement dans la cybersécurité. Depuis le début de l’année, certains groupes comme NetWalker, SunCrypt et Lockbit ont réclamé entre 10 000 $ et 50 000 $ de rançons qu’elles ont empochées. Même si ces sommes paraissent modiques au regard des rançons records observées, le versement de telles rançons peut affaiblir une petite entreprise.

Pour approfondir le sujet, de nombreuses ressources et rapports détaillés sur les ransomwares sont publiés sur le blog de l’Unit 42. Parmi les points essentiels, vous retrouverez le Rapport Ransomware 2021 de l’Unit 42 ainsi que les profils de quelques-uns des gangs de ransomwares les plus prolifiques au monde :
• Mespinoza
• REvil
• Prometheus
• Conti
• DarkSide
• Clop

Contre les attaques par ransomware, il faut un plan d’attaque. L’évaluation de son niveau de préparation face aux ransomwares constitue un excellent point de départ.

Au-delà, voici quelques conseils pour se prémunir de ces attaques. Ils émanent de Jen Miller-Osborn, Directrice adjointe de l’Unit42 :

Les conseils de l’Unit 42 sur la cybersécurité : comment arrêter les attaques par rançongiciels

Il y a seulement cinq ans, les experts en cybersécurité avaient averti que la menace de la cyber-extorsion était appelée à monter en puissance, les cybercriminels se tournant de plus en plus souvent vers les rançongiciels. Les pirates ont depuis perfectionné leur capacité à infiltrer les systèmes informatiques et à chiffrer toutes les données tant que leur propriétaire n’a pas versé une rançon pour en reprendre le contrôle.
En 2016, la majorité des rançons acquittées étaient inférieures ou égales à $500. Aujourd’hui, nous observons régulièrement des rançons dont le montant est 10 000 fois plus élevé. Les consultants de Palo Alto Networks ont vu les montants moyens dépasser $500 000. Nous avons même vu des paiements de plus de $10 millions.

Et pourtant, ce n’est pas un scénario de film. Au fil du temps, les pirates ont compris qu’il était plus rentable de cibler de grandes entreprises, et ils se sont rués sur cette manne. De plus, ils ont appris que le fait de chiffrer les données leur permettait de désactiver des systèmes informatiques stratégiques : ils ont ainsi le pouvoir de perturber les centres d’appels d’urgence, d’arrêter le fonctionnement des gazoducs et de mettre à l’arrêt les urgences des hôpitaux. Les rançongiciels posent un risque énorme pour la sécurité nationale et pour les opérations des grandes entreprises. Et si ce sont les attaques contre les grands groupes et les États qui font les gros titres, les petites entreprises sont aussi régulièrement victimes de la cyber-extorsion. De telles agressions peuvent être désastreuses pour ces petites structures qui ne possèdent pas les connaissances, le personnel et les ressources financières pour résister à une cyber-attaque d’envergure.

À l’heure où les entreprises opèrent leur transition vers un modèle de travail hybride, il est plus important que jamais d’informer les employés des dangers des rançongiciels. Les nouveaux environnements, qui font cohabiter employés en présentiel et télétravailleurs, et appareils professionnels et personnels connectés aux réseaux de l’entreprise, font que les pirates peuvent repérer plus facilement que jamais les failles de sécurité.

3 conseils pour se protéger des attaques par rançongiciels

1. Méfiez-vous des emails de hameçonnage : si vous pensez en avoir reçu un, signalez-le.
Les rançongiciels se diffusent principalement par le biais d’emails d’hameçonnage contenant des pièces jointes malveillantes. Se faisant passer pour un message légitime, le courriel frauduleux pousse le destinataire à répondre en l’incitant à cliquer sur un lien, à ouvrir une pièce jointe ou à fournir directement des informations sensibles.

Les emails d’hameçonnage sont devenus l’une des principales méthodes utilisées par les rançongiciels parce qu’ils sont simples à déployer. Outre cette facilité, il existe des kits d’hameçonnage bon marché comprenant des logiciels de développement de site Web, du code, des logiciels de spam et du contenu qui peuvent être utilisés par les pirates pour créer des sites Web et des emails convaincants.

2. Mettez à jour vos appareils en leur appliquant les derniers correctifs logiciels.
Les pirates exploitent souvent les failles logicielles pour propager leurs rançongiciels. Ces failles désignent les points faibles d’un logiciel. Un correctif logiciel contribue à résoudre ce problème en résolvant les failles de sécurité d’un logiciel afin de les rendre inexploitables par un pirate. La plupart du temps, les correctifs logiciels sont envoyés automatiquement par l’éditeur, et vous avez tout intérêt à les appliquer. En d’autres occasions, vous devez installer manuellement un correctif logiciel : assurez-vous de disposer des plus récents. Si vous ne les avez pas, procurez-les-vous sur le site Web de l’éditeur de logiciels et installez-les.

3. Restaurez les fichiers chiffrés à l’aide de vos sauvegardes.
Si vous êtes victime d’une attaque par rançongiciel, ne paniquez pas. Regardez si vous avez sauvegardé vos fichiers. Si c’est le cas, restaurez-les à partir de la dernière version. C’est le moyen le plus rapide de récupérer vos fichiers. Si vous ne les aviez pas sauvegardés, par contre, vous pouvez considérer qu’ils sont perdus.

La question la plus courante que nous recevons concernant les attaques par rançongiciel est celle-ci : “Devons-nous payer la rançon ?” Malheureusement, il n’existe pas de scénario universel. Toutes les victimes des attaques par rançongiciel se retrouvent confrontées à des décisions difficiles. Adressez-vous à un professionnel qui saura vous conseiller sur la marche à suivre. Notre conseil est de vous préparer à une attaque par rançongiciel. Il existe des outils et des technologies de sécurité qui peuvent empêcher une telle attaque et vous éviter de devoir prendre cette décision difficile.




Voir les articles précédents

    

Voir les articles suivants