L'ANSSI note une augmentation de 255 % du nombre d'attaques par rançongiciels en 2020

Et estime que ces attaques ne peuvent plus être reléguées au rang de simples attaques à visée lucrative

Souffrir d'une attaque de rançongiciel est douloureux. Les entités ciblées par ces attaques ont généralement deux options insatisfaisantes : l'une d'elles impliquerait la perte de toutes leurs données, et l'alternative serait de payer un montant élevé à la personne à l'origine de l'attaque. Les victimes les plus courantes de ces attaques sont les entreprises dont les données sont très précieuses, bien que les attaques contre des individus soient également assez courantes, mais récemment, une tendance plutôt unique et intéressante s'est développée au fil du temps.

Cette tendance qui s'est développée est que les paiements de ransomware ont en fait diminué, passant de plus de 233 000 $ à un peu plus de 154 000 $ en seulement trois mois, selon Coveware. La raison pour laquelle cela se produit est liée au fait que les victimes de rançongiciel ne cèdent plus aux demandes de leurs bourreaux et choisissent de perdre leurs données plutôt que de payer. Cela a conduit beaucoup à spéculer sur le fait que les attaques de ransomwares pourraient finir par diminuer, car les hackers vont se rendre compte que leurs tactiques ne fonctionnent plus autant qu'avant. Selon des observateurs, s'ils n'en tirent pas autant d'argent, ils risquent de lancer moins d'attaques puisque moins porteuses de fruits.

Cela dit, le simple fait qu’un pourcentage de victimes ait cessé de payer ne change rien au fait que beaucoup de victimes paient. 154 000 $ reste beaucoup d'argent, et les opérateurs de ces logiciels malveillants pourraient simplement continuer, mais choisir de baisser le prix des rançons, ce qui signifie que les attaques de rançongiciels pourraient continuer à être extrêmement coûteuses pour beaucoup de gens pendant très longtemps.


Le paysage des rançongiciels : la perspective de l'ANSSI

La tendance à la hausse des attaques par rançongiciel à l’encontre d’organisations publiques et privées, identifiée depuis 2018, s’est à nouveau confirmée en 2020, tant à l’échelle internationale que nationale. En 2020, l’ANSSI note ainsi une augmentation de 255 % des signalements d’attaque par rançongiciel dans son périmètre par rapport à 2019.

En outre, l’année 2020 s’est illustrée par trois tendances :

• le Big Game Hunting : parmi les multiples attaques observées, l’ANSSI et ses partenaires constatent qu’un nombre accru de groupes cybercriminels favorisent le ciblage d’entreprises et institutions particulières dans leurs attaques par rançongiciel ;
• le ransomware-as-a-service (RaaS) : de plus en plus de rançongiciels sont disponibles sur les marchés cybercriminels par un système d’affiliation et sont utilisés à la fois de façon ciblée et lors de campagnes massives en fonction de la volonté et des capacités des groupes cybercriminels souscrivant au service. La majorité des signalements remontés à l’ANSSI en 2020 ont concerné des rançongiciels fonctionnant selon le modèle économique du RaaS ;
• la double extorsion : existant depuis novembre 2019, cette tendance consiste à faire pression sur la victime en exfiltrant ses données et en la menaçant de les publier sur un site Internet, généralement en .onion, afin qu’elle paye la rançon. Il est ainsi de plus en plus fréquent qu’un chiffrement soit précédé d’une exfiltration de données.

À l’exception de rançongiciels utilisés exclusivement par un unique groupe cybercriminel, tels que le rançongiciel Clop par TA505 ou le rançongiciel WastedLocker par Evil Corp, les attaques par rançongiciel respectent une chaîne d’infection relativement similaire, caractérisée par l’usage d’outils légitimes de post-exploitation (Cobalt Strike, Mimikatz, etc.). Il est néanmoins observé une diversification, voire une sophistication, des vecteurs d’infection utilisés.

Cette chaîne d’infection peut être facilitée par le recours à l’écosystème cybercriminel, dont l’industrialisation permet aux opérateurs de rançongiciel de sous-traiter une grande partie des ressources et outils nécessaires à la réalisation de leurs opérations. En outre, il est parfois observé une collaboration entre opérateurs de différents rançongiciels. La menace qu’ils représentent serait d’autant plus importante si la concurrence censée régner entre les différents développeurs et opérateurs de rançongiciels laissait place à une émulation.

En matière de victimologie, aucun secteur d’activité ni zone géographique n’est épargné. Cependant, il est observé une hausse des attaques à l’encontre des collectivités locales, du secteur de l’éducation, du secteur de la santé et d’entreprises de services numériques. Pour les entités victimes, les coûts et dégâts causés sont variés (pertes financières, pertes d’exploitation, atteinte à l’image, perte de clients, perte de données, etc.) et contribuent malheureusement parfois au paiement de la rançon.

Ce paiement est parfois incité par des assurances cyber souscrites par les victimes, mais aussi favorisé par le fait que le montant de la rançon est souvent inférieur aux coûts de remédiation. L’évolution des législations américaines et européennes en matière de lutte contre le blanchiment de capitaux et financement du terrorisme pourrait agir comme un frein à cette incitation en engageant la responsabilité de toute personne physique ou morale facilitant le paiement de la rançon. La rentabilité des attaques par rançongiciel, bien supérieure à leur coût de mise en œuvre, explique la prolifération des groupes d’attaquants et laisse présager une constance, si ce n’est une hausse, de la menace liée aux rançongiciels dans les années à venir.


Évolution de la menace rançongiciel

Augmentation continue du nombre d'attaques par rançongiciel depuis 2018

Les rançongiciels représentent actuellement la menace informatique la plus sérieuse pour les entreprises et institutions, par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité.

Alors que 54 incidents liés à des rançongiciels ont été signalés à l’ANSSI en 2019, l’Agence a enregistré une hausse de 255 % en 2020 avec 192 incidents rapportés.

Tendance du Big Game Hunting

L’ANSSI et ses partenaires constatent que de plus en plus de groupes cybercriminels possédant des ressources financières et des compétences techniques importantes favorisent le ciblage d’entreprises et institutions particulières dans leurs attaques par rançongiciel. Ce ciblage se caractérise notamment par une préparation des opérations d’extorsion en amont, parfois plusieurs mois à l’avance.

Ce ciblage précis est notamment illustré par :

• les rançongiciels RagnarLocker et DarkSide dont chaque échantillon est adapté à l’organisation ciblée ;
• le rançongiciel RansomEXX dont l’échantillon du code contient le nom de la victime codé en dur et dont l’extension de fichiers et l’adresse courriel de contact utilisent le nom de la victime ;
• le rançongiciel Netwalker dont le montant de la rançon est adapté au revenu de l’entreprise.

Tendance du Ransomware-as-a-Service

Certains rançongiciels sont connus pour être employés exclusivement dans le cadre d’attaques de type « Big Game Hunting ». Parmi eux, se trouvent par exemple les rançongiciels Clop, opéré par le groupe cybercriminel TA505, et WastedLocker, opéré par le groupe cybercriminel Evil Corp. D’autres, disponibles sur les marchés cybercriminels par un système d’affiliation connu sous le nom de « Ransomwareas-a-Service » (RaaS), sont...