Les attaques par ransomware sont omniprésentes. Que ce soit par la couverture médiatique, des histoires issues du travail ou des connaissances – il est impossible d’éviter le sujet de la cybercriminalité et surtout des ransomwares. Cependant, cette présence croissante a une origine fondée sur des faits.

Les schémas d’attaque deviennent plus diversifiés, la fréquence et l’ampleur des attaques augmentent, et les personnes concernées deviennent de plus en plus indépendantes de la taille de l’industrie et de l’entreprise. L’expert américain en cybersécurité Recorded Future a mené une analyse du paysage des attaques par ransomware en Allemagne, à partir de laquelle on peut tirer des perspectives passionnantes. Dans cet article de blog, nous en proposons un aperçu.

Qu’est-ce que le ransomware et pourquoi est-il si dangereux ?

Les attaques par ransomware sont des attaques contre des programmes malveillants visant à chiffrer des PC, des données et des programmes qui y sont installés et à les rendre inutilisables. L’objectif est de faire chanter les personnes concernées et de les persuader de répondre aux demandes de rançon – avec la promesse de divulguer les données après paiement. Des attaques de ce type ont désormais lieu de plus en plus contre des entreprises, des autorités et des administrations. Ces derniers deviennent de plus en plus complexes, sophistiqués et personnalisés. Les cybercriminels agissent de manière ciblée et généralement en plusieurs étapes. Des incidents cybernétiques quotidiens tels que les messages indésirables sont utilisés pour accéder au réseau de l’entreprise. À une seconde étape, l’infrastructure informatique est analysée afin soit de chiffrer des données particulièrement importantes ou sensibles, soit de paralyser l’ensemble du système, y compris les sauvegardes connectées. Ainsi, les extorqueurs peuvent exercer une pression accrue sur les entreprises concernées et exiger des rançons plus élevées. Cependant, il est toujours incertain que les données seront effectivement publiées après le paiement. Cela s’explique par le fait que certains programmes de ransomware, par exemple, ne permettent pas de déchiffrer ou ne sont même pas possibles du tout.

Le secteur industriel allemand a été le plus touché par les ransomwares en 2020 et 2021

On peut observer que le volume des attaques de ransomware dans le monde entier et aussi contre les entreprises allemandes augmente régulièrement – avec de graves conséquences pour les personnes concernées : les systèmes sont infectés par le malware et rendus inutilisables. Les agences doivent être temporairement fermées, afin que les employés puissent être transférés au travail à temps partiel en conséquence. Il existe également un risque que les secrets de l’entreprise soient rendus publics. Dans des cas particuliers spécifiques à un secteur, les prestations sociales ne peuvent pas être accordées ou les hôpitaux n’ont pas la possibilité d’admettre des patients. Quelles que soient les conséquences individuelles, les attaques de ransomware représentent une menace sérieuse et sérieuse pour les entreprises et sont à juste titre considérées comme l’un des plus grands risques commerciaux actuels.

Recorded Future a résumé la situation des attaques par ransomware contre des entreprises allemandes en 2020 et 2021 dans un rapport. Des conclusions excitantes et en même temps inquiétantes peuvent en tirer.

En un coup d’œil : le paysage des menaces liées aux ransomwares 

Globalement, le nombre d’attaques par ransomware en Allemagne a augmenté de 83 % entre 2020 et 2021. Selon l’analyse de Recorded Future, cette tendance est en partie due aux facteurs suivants :

• Le nombre de groupes de hackers criminels actifs commettant des attaques par ransomware a doublé. Le professionnalisme des groupes a augmenté parallèlement.
• Le volume et la fréquence des attaques augmentent également – une activité accrue des gangs peut être observée.
• Des demandes de rançon plus élevées sont faites, compliquant les paiements.
• La pression exercée sur les entreprises pour signaler les incidents a augmenté en raison de la couverture médiatique croissante.
• La numérisation avancée et parfois précipitée due à la pandémie entraîne des failles de sécurité qui peuvent servir de simples passerelles.

Des développements qui conduisent finalement à des attaques par ransomware plus fréquentes d’une part, mais aussi plus faciles à réaliser et ayant des conséquences existentielles pour les personnes concernées.

Environ 42 % des attaques de ransomware en Allemagne touchent le secteur industriel, considéré comme la colonne vertébrale de l’économie allemande. Selon Recorded Future, ce secteur comprend le génie mécanique et les industries automobiles, l’industrie métallurgique, le génie électrique et l’industrie de la construction. D’autres secteurs comme l’éducation, le secteur public et la santé sont également de plus en plus au centre des cybercriminels. Cependant, l’affiliation à l’industrie n’est pas la seule indication de la probabilité d’une cyberattaque. En raison de l’amélioration des moyens de subsistance et de la facilité d’exécution, cela peut aujourd’hui affecter n’importe qui.

Les développements des dernières années en détail

Le développement ultérieur de la méthodologie d’attaque ne s’arrête pas. Les deux types d’attaques et les logiciels utilisés sont continuellement développés par les cybercriminels et deviennent donc de plus en plus sophistiqués. Quelles tendances peut-on observer ici en particulier ?

En général, les attaques par ransomware deviennent plus importantes, plus étendues et plus importantes. Alors qu’auparavant les attaques de ransomware visaient principalement des utilisateurs individuels, aujourd’hui elles se produisent à grande échelle et ciblent principalement les réseaux et chaînes d’approvisionnement de grandes organisations. En chiffreant des systèmes d’exploitation en réseau entiers de différentes entreprises, l’impact d’une attaque et l’influence des attaquants deviennent de plus en plus massifs. En plus des attaques à grande portée, des attaques personnalisées et hautement professionnelles contre des organisations cibles méticuleusement sélectionnées continuent de se produire.

La deuxième tendance préoccupante concerne la précision avec laquelle les cybercriminels attaquent leurs victimes. Avec l’augmentation de la fréquence des attaques et des cibles plus larges, les technologies utilisées ont été optimisées. Pour accéder et contrôler tous les systèmes d’exploitation, les acteurs malveillants utilisent des logiciels permettant de mener des attaques de manière moins chronophage et plus ciblée.   Des méthodes pour accélérer le chiffrement sont souvent utilisées, comme le logiciel LockBit. De plus, les contrôleurs de domaine sont utilisés pour prendre le contrôle de tous les répertoires actifs, à partir desquels des réseaux entiers peuvent être chiffrés en une seconde étape. Les paiements de rançon ne se font désormais plus seulement via Bitcoin, mais aussi via des cryptomonnaies alternatives comme Monero. Ici, les attaquants bénéficient d’une simple dissimulation des transactions ainsi que de la préservation de la vie privée et de l’anonymat.

Le professionnalisme et l’organisation interne des groupes de hackers criminels sont également frappants dans les développements de ces dernières années. Une restructuration des structures organisationnelles peut être observée ici. Par-dessus tout, les gangs criminels qui proposent leurs services à la vente sur le darknet sous forme de modèles de ransomware en tant que service (RaaS) devraient être mentionnés ici. Il est désormais vrai que pratiquement tout le monde a accès aux services des cybercriminels et peut en tirer parti en quelques étapes simples. C’est presque aussi simple que de commander un taxi : les criminels sont arrêtés, payés et parfois même évalués dans des portails d’avis sur le darknet. Ces contrats peuvent inclure tout, de la manipulation électorale au minage de Bitcoin, en passant par les ransomwares, le sabotage, l’espionnage, et bien plus encore. Des partenariats entre les acteurs malveillants sont également formés via des forums sur le darknet. Les acteurs individuels se spécialisent dans différents aspects des attaques puis unissent leurs forces pour des activités. Cela rend beaucoup plus difficile le retracement des attaques de ransomware jusqu’à des gangs individuels.

De plus, l’avancement de la mondialisation affecte non seulement la politique, l’économie et la société, mais aussi la cybercriminalité organisée. Les cyberattaques représentent un risque commercial mondial qui ne se limite pas à un seul pays ou région, mais qui sont d’importance internationale. Alors que selon Recorded Future, les États-Unis ont été principalement touchés par la cybercriminalité par le passé, les statistiques actuelles montrent que les États-Unis dominent toujours le classement, mais qu’il n’y a pas de limites géographiques. Le danger n’est pas seulement réel pour les entreprises et les organisations, mais il augmente de façon véhémente dans le monde entier. Les facteurs décisifs ici sont en particulier les revenus, une infrastructure informatique particulièrement vulnérable et la pertinence critique des organisations cibles individuelles – aucune affiliation territoriale.

D’où viennent ces résultats et à quoi ressemble l’avenir ?

Le nombre d’attaques de ransomware non signalées est estimé supérieur au nombre de cas réels enregistrés. Le défi d’enregistrer les incidents réels vient d’une part du fait que certains cas ne sont pas signalés aux autorités et, d’autre part, du fait que les attaques par ransomware sont parfois identifiées comme des incidents de sécurité réguliers et enregistrées en conséquence. L’analyse de Recorded Future repose sur des données collectées par divers canaux : des rapports médiatiques et des rapports des organisations concernées ont été collectés et évalués. Cependant, la majorité de l’ensemble de données provient de sites dits de fuites : des sites web que les attaquants de ransomware utilisent pour communiquer avec le public et faire chanter leurs victimes.

Bien qu’il soit difficile de faire une prévision générale des développements futurs, on peut supposer que les tendances listées ici continueront de s’intensifier. D’après ces résultats, les technologies deviendront encore plus sophistiquées à l’avenir, les attaques plus étendues et les gangs criminels encore plus organisés et spécialisés. L’ensemble de l’écosystème de la cybercriminalité devient plus accessible et connecté.

En plus de ces perspectives sombres, il existe aussi une tendance positive liée à la lutte contre la cybercriminalité : de plus en plus de mesures de maintien de l’ordre coordonnées à l’international sont observées, des gangs criminels sont démantelés et des sites web douteux sont mis hors ligne. Des efforts sont déployés pour perturber l’infrastructure dans laquelle les gangs opèrent afin de tenir les acteurs malveillants ainsi que leurs partenaires et intermédiaires responsables.

En plus des mesures prises par les forces de l’ordre, la sensibilisation générale à la cybercriminalité a augmenté dans la société en général – mais surtout dans les entreprises et les organisations. Cela conduit à des efforts pour se défendre activement contre les cybermenaces et prévenir les urgences par des mesures préventives. Associé aux initiatives visant à sensibiliser et à utiliser les ressources techniques, il existe désormais une résistance active aux cyberattaques, ce qui, espérons-le, diminuera le taux de réussite des ransomwares et mettra fin à cette tendance.

Que faites-vous activement contre la cybercriminalité ? Vos employés sont-ils prêts à une urgence ?