Dans un billet de blog, le Centre national de cybersécurité du Royaume-Uni (NCSC) exhorte les organisations à la prudence. Elle a parlé d'une entreprise qui a été victime d'une attaque de ransomware et a payé des millions en bitcoins afin de restaurer le réseau et de récupérer les fichiers.Cependant, la société en est restée là, ne procédant pas à l’analyse de la façon dont les cybercriminels ont infiltré le réseau. Cela s’est retourné contre eux puisque les mêmes opérateurs ont infiltré le réseau par les mêmes brèches avec le même ransomware moins de deux semaines plus tard. L'entreprise a fini par payer une deuxième fois une rançon.
« Nous avons entendu parler d'une organisation qui a payé une rançon (un peu moins de 6,5 millions de livres sterling avec les taux de change actuels) et a récupéré ses fichiers (à l'aide du décrypteur fourni), sans aucun effort pour identifier la cause première et sécuriser son réseau. Moins de deux semaines plus tard, le même attaquant a de nouveau attaqué le réseau de la victime, en utilisant le même mécanisme qu'auparavant, et a redéployé son ransomware. La victime a estimé qu'elle n'avait d'autre choix que de payer à nouveau la rançon », est-il noté dans le billet de blog du NCSC.
En quoi est-ce important de le rappeler ? Malgré les mises en garde contre cette pratique, nous avons récemment vu plusieurs grandes organisations remettre des millions de dollars en cryptomonnaie à des opérateurs de ransomware, mais cela signifie-t-il que les attaques de suivi sont moins susceptibles de se produire ? Pas selon un nouveau rapport qui révèle que près de la moitié de toutes les victimes sont à nouveau ciblées par les mêmes pirates.
En clair, la situation n'est pas si rare d'après une enquête menée par Censuswide auprès de professionnels de la sécurité sur sept marchés dans le monde, notamment à Singapour, en Allemagne, en France, aux États-Unis et au Royaume-Uni.
Selon les résultats de l'enquête, la majorité des entreprises qui choisissent de payer pour récupérer l'accès à leurs systèmes chiffrés subissent une attaque de ransomware ultérieure. Et près de la moitié de ceux qui paient disent que certaines ou toutes leurs données récupérées ont été corrompues.
Quelque 80*% des organisations qui ont payé des demandes de rançon ont subi une deuxième attaque, dont 46*% pensaient que le logiciel de rançon suivant était utilisé par les mêmes pirates. Parmi ceux qui ont payé pour retrouver l'accès à leurs systèmes, 46 % ont déclaré qu'au moins certaines de leurs données étaient corrompues. À l'échelle mondiale, 51 % ont récupéré leur système chiffré sans aucune perte de données, tandis que 3 % ont déclaré qu'ils n'avaient récupéré l'accès à aucune donnée chiffrée. Le rapport a révélé qu'une organisation en particulier aurait payé un montant de ransomware de plusieurs millions de dollars, pour être la cible d'une deuxième attaque par les mêmes attaquants dans les quinze jours qui ont suivi.
À Singapour, 90 % ont subi une deuxième attaque de ransomware après avoir payé la première rançon, et 28 % ont récupéré l'accès aux données corrompues. Quelque 73*% ont admis avoir perdu des revenus à la suite de l'attaque, contre une moyenne mondiale de 66*%, tandis que 40*% ont vu leur marque ou leur réputation affectée, contre 53*% dans le monde.
Quelque 37 % des organisations singapouriennes qui ont payé un ransomware ont déboursé entre 140 000 et 1,4 million de dollars, et 5 % ont payé des rançons d'au moins 1,4 million de dollars. 13 % ont reconnu avoir dû licencier des employés en raison de pertes financières suite à une attaque, tandis que 20 % ont été contraints de fermer.
Le vice-président Asie-Pacifique de Cybereason, Leslie Wong, a déclaré : « Les entreprises de Singapour doivent comprendre que le paiement d'une demande de rançon ne garantit pas une récupération réussie, n'empêche pas les attaquants de frapper à nouveau l'organisation victime, et en fin de compte ne fait qu'exacerber le problème en encourageant les attaques. Faire face à la menace en adoptant une stratégie de prévention avant tout pour une détection précoce permettra aux organisations d'arrêter les ransomwares perturbateurs avant qu'ils ne nuisent à l'entreprise ».
À l'échelle mondiale, l'enquête a révélé que 81 % des personnes interrogées étaient très préoccupées par les risques posés par de telles attaques, 73 % déclarant avoir mis en place des politiques ou des plans pour gérer spécifiquement les attaques de ransomware.
Pourquoi le ransomware a toujours autant...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.