Le constat en qu’en 2020 les ransomwares ont été particulièrement nombreux et préjudiciables. Et un coût de la cybercriminalité pour l’économie mondiale de plus de 1.000 milliards de dollars.
Pire, selon certains acteurs de la cyber-sécurité, ce coût ne représenterait que celui des rançongiciels.
Au-delà de ce constat déjà relativement alarmant, les perspectives se semblent malheureusement pas bonnes.
Les attaques informatiques ne cessent d'impressionner et nombre d'entreprises se sont retrouvées impuissantes face à la menace.
[…] Les opérateurs de ransomwares tels qu’Avaddon, Darkside, Lockbit ou NetWalker fonctionnent en réseau, avec des affiliés, et lancent périodiquement des appels à candidature. Ils recrutent en particulier des experts, non pas dans l’intrusion, mais dans la compromission des systèmes d’information : des personnes capables de capitaliser sur un accès initial, donc un vecteur d’intrusion déjà exploité, pour remonter jusqu’à un contrôleur de domaine Active Directory pour mettre la main de dessus et, ensuite, pouvoir voler des données, déployer le ransomware, et le déclencher. L’accès initial aura préalablement acheté à d’autres cyber-délinquants. Les revenus tirés d’une rançon effectivement payée sont alors partagés.
Une résistance de plus en plus visible
Le souci, c’est que lorsque la rançon n’est pas payée, l’affilié qui conduit l’essentiel de l’attaque n’est pas payé non plus… De quoi probablement générer des frustrations, sinon des tensions. Et certains groupes, qui font largement parler d’eux, semblent plus menacées par le phénomène que d’autres.
En ce tout début janvier, on compte plus de 180 victimes sur le site des opérateurs du ransomware Conti, et plus de 150 sur celui d’Egregor. Des trophées, selon, alignés comme une démonstration de force. NetWalker, de son côté, a frappé environ 220 organisations à travers le monde, depuis son apparition au printemps dernier. Mais l’on en connait 160 qui, donc, n’ont pas payé ! Pour ces cyber-délinquants, le taux de succès tournerait donc autour de 27 %. En somme, NetWalker montre que le ransomware ne fonctionne pas si bien que ça… Il fonctionne juste assez bien pour être attractif.
Avec toutes les victimes qui sont là affichées, les cyber-délinquants font la démonstration d’une agressivité certaine et d’une puissance de frappe assez importante. Ils rappellent en outre que de nombreux systèmes d’information sont “vulnérables” et que personne n’est infaillible, gros comme petit.
Mais surtout, les opérateurs de ces ransomwares montrent à tous, en particulier aux affiliés qu’ils essaient de recruter, qu’ils ne sont pas si bons que ça pour monétiser leurs opérations. Chaque nom ajouté à leur site est en fait un aveu d’échec : celui d’avoir marqué, sans réussir à transformer. Et en prime, c’est un exemple de plus susceptible d’encourager à leur tenir tête.
Plus d’efforts pour faire payer
Dans ce contexte, il n’est pas surprenant que certains rançonneurs s’accrochent parfois à une négociation plus d’un mois, dans l’espoir – probablement vain – d’en récupérer quelque chose. Ce fut le cas pour Conti avec les Leon Medical Centers outre-Atlantique. De quoi encourager, peut-être, à confier la négociation à un professionnel qui saura faire gagner, à la victime du ransomware, le temps nécessaire pour se remettre sur pieds.
Mais il serait surprenant que les assaillants n’ajustent pas leurs pratiques, quittent à opérer une montée en compétence, de leur côté, pour les négociations, afin de relever l’efficacité économique de leurs activités.
Et cela pourrait bien passer aussi par des pressions exercées plus largement. Les opérateurs d’Egregor ont déjà utilisé des imprimantes de caisse pour faire pression sur leur victime. Les opérateurs de Conti, Ryuk ou encore DoppelPaymer jouent aussi le harcèlement téléphonique sur leurs victimes, selon nos confrères de ZDNet. Et puisque les cyber-criminels ont accès à des données sensibles, il serait surprenant qu’ils n’en viennent pas à s’adresser directement à des partenaires commerciaux de leurs victimes afin d’augmenter encore la pression sur ces dernières, et les pousser à payer.
De nouveaux acteurs
Et quoi qu’il en soit, l’activité du ransomware promet de continuer de créer des vocations. De nouveaux rançongiciels sont régulièrement découverts, jusqu’à tout récemment, avec Babuk. Ses opérateurs ne semblent pas, à première vue, d’un très haut niveau de sophistication. Ils ont tout juste commencé leurs opérations et affichent déjà quatre victimes, aux Etats-Unis, en Espagne, outre-Rhin, et en Italie. Ils prévoient d’ouvrir un site Web de présentation de leurs victimes ce 6 janvier. Pour l’instant, ils se contentent de les annoncer sur un forum en ligne.
A l’autre extrémité du spectre, des acteurs soupçonnés d’être à la solde d’Etats-nations, les fameux APT, semblent aussi prendre le virage du ransomware. Profero et Security Joes estiment qu’il en va ainsi du groupe APT27, considéré comme lié à la Chine. Ce ne serait pas exceptionnel : le groupe TA505 est soupçonné d’être lié au ransomware Cl0p, qui a récemment frappé l’allemand Software AG. Le groupe Lazarus (Corée du Nord), se serait également engagé dans cette voie. […]
| Article extrait de la publication parue dans le MagIT du 05/01/21, « Ransomware : à quoi s’attendre en 2021 » |
