Les opérateurs derrière les ransomwares manquent de plus en plus à leur promesse de supprimer les données volées après qu'une victime ait payé une rançon. En 2019, des hackers derrière le ransomware Maze ont introduit une nouvelle tactique connue sous le nom de double extorsion; les attaquants volent des fichiers non chiffrés et menacent de les diffuser publiquement si une rançon n'est pas payée.Désormais, non seulement les victimes sont extorquées par le chiffrement de leurs fichiers, mais aussi par le risque que leurs données soient publiées et provoquent une violation de données.
Cette tactique a été rapidement adoptée par d'autres hackers durant leurs campagnes d'attaques aux ransomwares, dont les auteurs ont parfois créé des sites pour publier les fichiers volés aux victimes. Dans le cadre de cette tactique de double extorsion, la plupart des opérations de ransomware obligent la victime à payer une seule rançon qui fournira à la fois un décrypteur pour leurs fichiers chiffrés et une promesse de ne pas partager et de supprimer les fichiers volés. Certaines opérations de ransomware, comme AKO / Ranzy, exigent deux paiements de rançon, un pour le décrypteur et un autre pour ne pas publier de données volées.
Au vu de la recrudescence des attaques par ransomwares, Coverware a publié un rapport qui dresse le bilan du troisième trimestre 2020 quant à cette menace particulière.
Le paiement moyen de rançons est passé à 233 817 $ au troisième trimestre 2020, en hausse de 31% par rapport au deuxième trimestre. Le paiement médian au troisième trimestre a légèrement augmenté, passant de 108 597 $ à 110 532 $, ce qui reflète l'importance des paiements des entités les plus importantes qui continuent de faire grimper les moyennes. Le déséquilibre au sein de l'industrie de la cyberextorsion était évident lorsque les attaquants ont découvert que les mêmes tactiques, techniques et procédures (TTP) qui fonctionnent sur une entreprise de 500 personnes peuvent fonctionner sur une entreprise de 50 000 personnes et que le bénéfice potentiel est considérablement plus élevé. L'augmentation spectaculaire des montants des rançons peut impliquer un degré plus élevé de sophistication à mesure que les attaquants montent en gamme, mais Coveware ne pense pas que les attaques soient plus sophistiquées.
Le changement le plus important au cours des six derniers trimestres est que les acteurs malveillants réalisent maintenant que leurs tactiques s'adaptent à des entreprises beaucoup plus grandes sans trop augmenter leurs propres coûts d'exploitation. Les marges bénéficiaires sont extrêmement élevées et le risque est faible. Ce problème continuera de s'aggraver jusqu'à ce que des pressions soient exercées sur les paramètres économiques unitaires de cette industrie illicite. Il est également possible que l'afflux de configurations à distance et de travail à domicile, avec l'utilisation de plusieurs technologies, ait permis aux acteurs malveillants d'exploiter des vecteurs d'attaque qui n'existaient pas auparavant.
Top 10: Part de marché des attaques de ransomware au troisième trimestre 2020
Sur la base du suivi de l'activité de Maze par Coveware, les dernières attaques contre des entreprises par le malware ont eu lieu à la fin du mois de septembre et les opérateurs ont depuis annoncé qu'ils allaient disparaître. Depuis, des affiliés moins expérimentés ont probablement introduit le code du ransomware Maze dans les variantes du ransomware Sekhmet et Egregor. À en juger par leur ascension prolifique et leurs tactiques similaires, Egregor semble en être l'héritier.
Payer la rançon n'empêche pas les cybercriminels de publier vos données
Près de 50% des attaques par ransomware incluaient la menace de publier des données volées par les opérateurs. La menace de publier des données volées a été utilisée comme le déclencheur du paiement de la rançon. Auparavant, lorsqu'une victime de ransomware disposait de sauvegardes adéquates, elle se contentait...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
