Une proportion importante des organisations victimes d'attaques au ransomware choisissent de payer la rançon, car elles ont l'impression de n'avoir d'autre choix que de céder aux demandes des cybercriminels, selon un rapport. 27 % des personnes interrogées dans le cadre de l’enquête annuelle de Crowdstrike ont déclaré que leur organisation avait payé la rançon après que leur réseau ait été chiffré avec un rançongiciel. Le rapport note également que ces attaques sont devenues récurrentes du fait que le montant moyen de la rançon dépasse désormais le million de dollars.L'étude a été menée par le cabinet de recherche indépendant Vanson Bourne auprès de 2 200 décideurs informatiques et professionnels de la sécurité issus d'un large éventail de secteurs au cours des mois d’août et septembre 2020 en Australie, en France, en Allemagne, en Inde, en Italie, au Japon, au Moyen-Orient, aux Pays-Bas, à Singapour, en Espagne, au Royaume-Uni et aux États-Unis. Tous les répondants provenaient d'organisations comptant 250 employés ou plus et représentaient des organisations des secteurs privé et public.
Le rapport 2020 de l’enquête de Crowdstrike conclut à une crainte croissante d'intrusions de l'État-nation et d'attaques par des rançongiciels à la suite du covid-19 (71 % des répondants), 56 % des organisations ayant signalé une attaque par ransomware au cours des 12 derniers mois. En outre, 87 % des personnes interrogées ont indiqué que les attaques des États-nations sont beaucoup plus fréquentes que la plupart des gens ne le pensent. En fait, 73 % des personnes interrogées déclarent que ces attaques constituent la plus grande menace pour leurs organisations.
Le danger et la sophistication croissante des rançongiciels n'échappent pas aussi aux personnes interrogées dans le cadre de l'enquête de cette année, 54 % d'entre elles se déclarant préoccupées par les attaques par ces malwares, ce qui représente une augmentation significative par rapport aux 42 % de l'année dernière.
Une question posée par l’étude concernait le paiement de la rançon exigée par les cybercriminels. Selon le rapport, la décision de payer ou non la rançon peut être difficile à prendre pour les organisations. Le Trésor américain a averti que « les entreprises qui facilitent le paiement de rançons aux cyberacteurs au nom des victimes, y compris les institutions financières, les compagnies d'assurance et les entreprises impliquées dans la criminalistique numérique et la réponse aux incidents, non seulement encouragent les futures demandes de paiement de rançons, mais risquent également de violer les règlements de l'OFAC [Office of Foreign Assets Controls] ».
Malgré cet avertissement de ne pas céder et payer la rançon, de nombreuses entreprises justifient ce paiement par le fait que l'obtention de la clé de déchiffrement des attaquants est considérée comme le moyen le plus rapide et le plus facile de restaurer le réseau. Les organisations de plus d’un quart des répondants ont choisi de payer la rançon, pour un total moyen de 1,1 million de dollars US payé par chacune.
Les données ramenées au plan régional n’améliorent pas la situation. L'Asie-Pasifique étant la plus touchée avec des versements moyens de 1,18 million de dollars US. L'EMEA est arrivée à 1,06 million de dollars, tandis que les États-Unis ont été plus faibles, avec une moyenne d'un peu moins de 1 million de dollars versés aux agresseurs.
Cependant, non seulement le fait de payer la rançon encourage les gangs à poursuivre leurs campagnes parce qu'ils savent qu'elles sont rentables, mais il n'y a pas non plus de garantie que les pirates informatiques restaureront réellement le réseau dans son intégralité. Selon un rapport trimestriel de Coveware publié plus tôt ce mois, bien que certaines entreprises aient choisi de payer les acteurs malveillants afin qu'ils ne divulguent pas les données volées, Coveware a vu s'effilocher les promesses des cybercriminels de supprimer les données une fois la rançon payée.
De surcroît, en plus du coût de la rançon, il est également probable qu'une organisation victime d'une attaque par rançongiciel à qui est demandée une rançon perdra des revenus en raison de la perte d'exploitation pendant les périodes d'inactivité, ce qui fait de ces campagnes une entreprise coûteuse.
76 % des organisations ont mis à jour leur logiciel de sécurité après avoir subi une attaque au ransomware
La majorité des victimes d'une attaque par ransomware se réveillent à l'improviste, selon le rapport. En effet, plus des trois quarts des personnes interrogées dans le cadre de l'enquête ont déclaré qu'à la suite d'une attaque par rançongiciel, leur organisation a mis à niveau son logiciel et son infrastructure de sécurité afin de réduire le risque d'attaques futures, tandis que deux tiers (65 %) ont modifié leur personnel de sécurité dans le même but.
Le rapport ne révèle pas pourquoi près d'un quart des victimes de ransomware ne prévoient pas de modifier leurs plans de cybersécurité, mais en laissant les choses inchangées, ils risquent d'être victimes de futures attaques. C'est particulièrement le cas en 2020, qui a apporté des vulnérabilités supplémentaires en matière de cybersécurité aux organisations en raison de l'augmentation du nombre de personnes travaillant à domicile à cause de la pandémie de coronavirus.
Selon le rapport, l'enquête semble indiquer par ailleurs que les organisations réalisent le lien entre covid-19 et une augmentation à la fois des attaques au rançongiciel et des coûts qu'elles encourent, car certaines organisations choisissent de payer la rançon plutôt que de subir des interruptions prolongées de leurs processus d'affaires ou de risquer que des données d'entreprise sensibles soient exposées.
« Dans une situation de travail à distance, la surface d'attaque a augmenté plusieurs fois et la sécurité ne peut pas être une priorité secondaire pour les entreprises », a déclaré Zeki Turedi, directeur de la technologie pour l'EMEA chez CrowdStrike.
Pour éviter d'être victime d'une attaque au ransomware, CrowdStrike recommandé aux entreprises de s'assurer que les systèmes sont mis à jour avec les derniers correctifs de sécurité, ce qui peut empêcher les cybercriminels de profiter des vulnérabilités connues pour introduire des rançongiciels. Les organisations doivent également se concentrer sur la protection de toutes les charges de travail, où qu'elles se trouvent, plutôt que de maintenir des modèles de sécurité construits autour des périmètres du réseau.
Il est également recommandé de déployer une authentification à deux facteurs dans toute l'entreprise, de sorte qu'en cas de violation du périmètre par des pirates informatiques, il leur soit plus difficile de se déplacer latéralement sur le réseau et d'en compromettre une plus grande partie avec des logiciels de rançon ou toute autre forme de logiciels malveillants.
Source : Crowdstrike
Et vous ?
Que pensez-vous de cette étude ? 24 % des organisations des victimes de ransomware ne prévoient pas de modifier leurs plans de cybersécurité après une attaque. Quel commentaire en faites-vous ?Voir aussi :
Garmin, fabricant de montres intelligentes, obtient une clé de déchiffrement après une attaque au ransomware, « Les systèmes touchés sont en cours de restauration » Campari Group victime du ransomware Ragnar Locker. Les cybercriminels ont volé 2 To de données sensibles, et demandent 15 Ms$ pour déverrouiller les fichiers et supprimer les données volées Une société américaine de gestion de voyages a payé une rançon de 4,5 millions de dollars à des pirates informatiques, après des négociations dans un chat laissé en ligne Les opérateurs derrière les ransomwares ne suppriment pas toujours les données volées aux entreprises qui ont payé des rançons, selon un rapport de Coveware