À l’heure où les discussions sur les ransomwares sont principalement tournées autour des victimes, des rançons demandées et de la manière dont elles paralysent les organisations, la section liée aux ransomwares du Crypto Crime Report de Chainalysis apporte enfin une tendance positive. On apprend qu'en 2022, le revenu total perçu par les auteurs des ransomwares a atteint son niveau le plus bas depuis trois ans. Bien que les cyber attaquants aient reçu au moins 456,8 millions de dollars, on constate une baisse de 40,3 % par rapport aux gains enregistrés en 2021, à savoir 765,6 millions de dollars.
En revanche, cette diminution des rançons payées ne signifie pas nécessairement qu'il y a eu une baisse des attaques.
Kim Grauer, Director of Research chez Chainalysis, explique :
La baisse des revenus des cyber attaquants n’est pas liée à une baisse du nombre d'attaques mais probablement à la réticence croissante des victimes à payer les rançons. Cette réticence est la conséquence de plusieurs facteurs, notamment l'utilisation plus étendue de solutions permettant de sauvegarder et/ou récupérer ses données et qui atténuent l'impact des attaques mais aussi la crainte d'enfreindre les réglementations gouvernementales interdisant le paiement de rançons à des organisations potentiellement affiliées à des pays et des groupes sanctionnés.
L’étude met également en lumière les techniques utilisées par les auteurs de ransomware pour blanchir leurs gains illicites. La part des fonds des ransomwares envoyés vers les plateformes d’échanges de cryptomonnaies dites “classiques” est passée de 39,3 % en 2021 à 48,3 % en 2022, tandis que la part envoyée vers les plateformes jugées à haut risque a chuté de 10,9 % à 6,7 %. L'utilisation de services illicites, tels que les marchés du darknet, pour le blanchiment d'argent des ransomwares a également diminué, tandis que l'utilisation des mixeurs (services mélangeant les cryptomonnaies de nombreux utilisateurs pour cacher l'origine des fonds et l’identité de leurs propriétaires), est passé de 11,6 % à 15 %.
Malgré la baisse du nombre d'attaques et des rançons versées, le nombre de souches uniques de ransomware en activité aurait explosé en 2022, une étude de la société de cybersécurité Fortinet affirmant que plus de 10 000 souches uniques étaient actives au premier semestre 2022. Cependant, en 2022, la durée de vie des ransomwares a continué de se réduire avec une durée d’activité moyenne de 70 jours pour une souche de ransomware contre 153 en 2021 et 265 en 2020.
Souhaitant alerter sur le fait que les apparences sont parfois trompeuses, Kim Grauer déclare que "le renouvellement constant des principales souches de ransomware et l'apparition de nouvelles souches pourraient laisser penser que le monde des ransomwares est surpeuplé, avec un grand nombre d'organisations criminelles en concurrence les unes avec les autres et de nouveaux venus faisant constamment irruption. Cependant, si de nombreuses souches restent actives tout au long de l'année, le nombre réel de cybercriminels qui composent l'écosystème des ransomwares demeure probablement assez faible."
En effet, les données on-chain mettent en lumière de nombreux cas de portefeuilles uniques recevant des paiements importants liés à plusieurs souches de ransomware à différents moments. "En suivant les portefeuilles associés à des cyber attaquants connus, nous avons pu cartographier l'évolution de l’écosystème des ransomwares. L'important chevauchement que nous avons découvert remet en question le sentiment selon lequel il s'agit d'un écosystème extrêmement vaste. Au contraire, nous constatons que l’épicentre des acteurs malveillants est en fait très concentré. Heureusement, malgré tous les efforts des cyber attaquants, la transparence de la blockchain permet aux enquêteurs de repérer rapidement leurs tentatives de changement d’identité." déclare Kim Grauer.
Les victimes refusent de payer
Malgré les multiples tactiques d'extorsion employées par les opérateurs de ransomware - par exemple, le cryptage de fichiers, les attaques DDoS, les menaces de fuite de données volées ou d'information des autorités de protection des données d'une violation - un nombre croissant de victimes refusent de répondre aux exigences des acteurs de la menace.
La société de cyberintelligence Coveware indique qu'il y a une tendance identifiable depuis 2019 dans ses statistiques, montrant que les taux de paiement des victimes sont en baisse constante.
En 2019, 76 % des victimes de ransomware ont choisi de payer la rançon, tandis que seulement 24 % ont plutôt fait face aux conséquences. Cette tendance a changé en 2022, puisque 59 % des victimes ont choisi de ne pas payer la rançon.
L'année écoulée a marqué un tournant psychologique important, tant pour les attaquants que pour les défenseurs. L'année 2022 a été la première année où davantage de victimes de ransomware ont décidé de ne pas payer. Ce changement de comportement met en évidence une évolution de la perception et de l'approche du traitement des attaques par ransomware.
Ce changement peut être attribué principalement à trois choses :
- Les victimes réalisent que payer la rançon ne garantit pas qu'elles récupéreront leurs fichiers et que les acteurs de la menace supprimeront les fichiers volés.
- La perception publique des attaques par ransomware a mûri, et les fuites de données résultant de ces incidents ont tendance à avoir un effet atténué sur l'atteinte à la réputation des marques.
- Les organisations suivent de meilleures stratégies de sauvegarde, qui sont également exigées par les assureurs de la couverture contre les ransomwares, ce qui leur donne souvent un moyen de restaurer leur infrastructure informatique en cas d'attaque.
Même si les victimes gèrent les attaques de ransomware différemment qu'il y a deux ans, décourager complètement les opérateurs en ne les payant pas est encore un objectif lointain.
Tant que le pourcentage de victimes qui paient sera important ou que les pirates encaisseront des montants plus importants sur des cibles de plus grande valeur, les attaques par ransomware seront une menace présente.
À propos de Chainalysis
Chainalysis est une plateforme de données blockchain qui fournit des données, des logiciels, des services et des recherches aux agences gouvernementales, aux bourses, aux institutions financières et aux compagnies d’assurance et de cybersécurité dans plus de 70 pays. Ses données alimentent les logiciels d’enquête, de conformité et d’analyse du marché qui ont été utilisés pour résoudre certains des cas criminels les plus médiatisés au monde et accroître l’accès des consommateurs aux cryptomonnaies en toute sécurité.
Source : Chainalysis
Et vous ?
Trouvez-vous ce rapport pertinent ?
Qu'en est-il de votre entreprise ? fait-elle partie de celles qui refusent désormais de payer les auteurs de ransomware ?
Voir aussi :
Comment une entreprise a survécu à une attaque par ransomware sans payer la moindre rançon, un cadre raconte les détails de l'attaque dont a été victime son entreprise
80 % des entreprises ont été victimes d'une attaque par ransomware, alors qu'elles dépensent en moyenne 6 millions de dollars par an pour atténuer les effets de ces attaques, selon CBI
Les attaques par ransomware sont de plus en plus nombreuses, malgré une diminution dans certaines régions, la région APJ (Asie Pacifique et Japon) est la plus touchée avec une augmentation de 56 %