• Les 5 principales cibles des ransomwares par secteur en 2024 incluent l'éducation, la construction et la propriété, le gouvernement central et fédéral, les médias, les loisirs et le divertissement, et le gouvernement local et d'État.
  • Trois origines des nouvelles souches de ransomware sont les acteurs soutenus par des États, les organisations criminelles et les chercheurs en sécurité qui ne réfléchissent pas toujours aux conséquences.
  • Les attaques de chaîne d'approvisionnement, la triple extorsion et le ransomware en tant que service (RaaS) sont les principales tendances des ransomwares ces dernières années.

Même si le ransomware n'est pas un risque de cybersécurité nouveau, les principaux gouvernements du monde entier continuent de surveiller de près ce danger. La capacité des gens à faire leurs courses, à faire le plein de leur voiture et à recevoir des soins de santé a été affectée par les ransomwares.

Ces dernières années, les effets financiers des ransomwares sont également devenus plus perceptibles. Les attaques contre les chaînes d'approvisionnement causent des dommages plus étendus que les attaques contre une seule personne. Pour ralentir la propagation des attaques de ransomware, les gouvernements et les entreprises technologiques ont également intensifié leur réponse.

Historique des attaques de ransomware

Le ransomware remonte à 1989, lorsque le « virus du SIDA » a été utilisé pour extorquer des fonds aux destinataires du ransomware. Les paiements pour cette attaque étaient envoyés par courrier au Panama, après quoi une clé de déchiffrement était renvoyée à l'utilisateur.

En 1996, Moti Yung et Adam Young de l'Université de Columbia ont introduit un ransomware connu sous le nom d'« extorsion cryptovirale ». Cette idée, née dans le monde universitaire, a illustré la progression, la puissance et la création d'outils cryptographiques modernes. Young et Yung ont présenté la première attaque de cryptovirologie lors de la conférence IEEE Security and Privacy de 1996. Leur virus contenait la clé publique de l'attaquant et chiffrait les fichiers de la victime.

Le logiciel malveillant invitait ensuite la victime à envoyer un texte chiffré asymétrique à l'attaquant pour le déchiffrer et lui renvoyer la clé de déchiffrement — moyennant des frais.

Lire aussi: Comment fonctionnent les véhicules autonomes ?

Secteurs ciblés

Les attaques de ransomware ciblent généralement les institutions et organisations critiques, telles que les soins de santé, la finance, la fabrication et les organisations gouvernementales. Dans certains cas, en plus d'autres impacts, les attaques de ransomware entraînent des taux de mortalité plus élevés dans les établissements de santé. Comme le secteur manufacturier englobe divers types de production, tels que les produits métalliques, l'automobile et les équipements industriels, il est également un secteur très ciblé par les ransomwares. Les institutions financières sont également souvent ciblées. Dans ce cas, les attaquants cherchent toujours à voler de l'argent et une énorme quantité de données utilisateur sensibles. Jusqu'en mai 2024, selon les statistiques de Camparitech, il y a un total de 4013 attaques avec une rançon moyenne de 408 044 $. Les 5 principales cibles de ransomware par secteur en 2024 sont: l'éducation, la construction et la propriété, le gouvernement central et fédéral, les médias, les loisirs et le divertissement, et le gouvernement local et d'État.

D'où viennent la plupart des attaques de ransomware

La plupart des ransomwares ne sont pas propagés par un individu; ce sont plutôt certains groupes malveillants qui développent, perfectionnent et distribuent le logiciel de ransomware. Selon le Rapport de défense numérique de Microsoft, une bonne moitié de ces groupes viennent de Russie. L'Iran et la Corée du Nord sont d'autres foyers courants pour les groupes de ransomware, les États-Unis étant la cible la plus fréquente.

Connaître les origines courantes des nouvelles souches de ransomware peut aider les organisations à se défendre contre une attaque. Il s'agit d'acteurs soutenus par des États, d'organisations criminelles et de chercheurs en sécurité qui ne réfléchissent pas toujours aux conséquences.

1. Acteurs soutenus par des États

Dans ce scénario, les acteurs malveillants reçoivent un soutien monétaire, technique et autre de la part d'un organisme gouvernemental pour créer une nouvelle menace de ransomware. Ces acteurs utilisent ensuite le ransomware pour mener une attaque qui sert les intérêts de l'organisme gouvernemental. Étant donné que l'organisme gouvernemental n'a pas lancé l'attaque lui-même, il peut tenter de tirer parti de ce fait pour un démenti plausible, augmentant ainsi les coûts politiques si un autre État souhaite riposter.

En mai 2021, The Hacker News a écrit que des chercheurs en sécurité avaient détecté une campagne de ransomware soutenue par l'État, dirigée par le Corps des gardiens de la révolution islamique d'Iran (IRGC). Ceux qui ont repéré la campagne soupçonnaient que l'IRGC l'utilisait comme technique de subterfuge pour imiter les tactiques, techniques et procédures (TTP) des groupes de ransomware à motivation financière afin de rendre l'attribution plus difficile.

2. Organisations criminelles numériques

Toutes les opérations de ransomware ne reçoivent pas un soutien direct d'une agence gouvernementale. Mais le soutien peut prendre de nombreuses formes. Ces « corsaires », comme le note Threatpost, agissent selon leurs propres agendas financiers tout en bénéficiant de certaines protections de la part des organismes gouvernementaux.

Selon The Washington Post, les développeurs de REvil semblent être basés en Russie, un pays qui a historiquement fermé les yeux sur les groupes de cybercriminalité opérant à l'intérieur de ses frontières. Les créateurs du ransomware ont utilisé cette protection pour mettre en place un système de RaaS dans lequel ils prenaient 20 à 30 % du paiement de la rançon, les affiliés prenant le reste pour mener les attaques, voler les données et déclencher le crypto-malware. Grâce à cet arrangement, le gang REvil a fini par gagner 100 millions de dollars en deux ans.

3. Chercheurs en sécurité qui ne réfléchissent pas aux conséquences

Au fil des ans, les chercheurs en sécurité ont parfois développé des programmes de type ransomware à « des fins éducatives ». Ce fut le cas avec Hidden Tear. Au moment de son apparition en août 2015, son créateur avertissait les utilisateurs de « ne pas l'utiliser comme un ransomware », précisant qu'ils « iraient en prison pour entrave à la justice rien qu'en exécutant hidden tear, même s'ils sont innocents ».

Lire aussi: Qui est Jeff Weiner ? L'ancien PDG de LinkedIn incarne la « gestion compatissante »

Tendances des ransomwares qui se poursuivront en 2024

Quelques tendances clés en matière de ransomware ont émergé ces dernières années et se poursuivront probablement en 2024 et au-delà. Voici quelques-unes des principales tendances des ransomwares ces dernières années:

Attaques de la chaîne d'approvisionnement: Au lieu d'attaquer une seule victime, les attaques de la chaîne d'approvisionnement étendent le rayon d'action. Un exemple a été l'exploit dans le logiciel Moveit Transfer de Progress Software qui a conduit à des attaques de ransomware à grande échelle par le gang de ransomware Clop. Au cours des dernières années, il y a eu plusieurs incidents de ce type, notamment l'attaque de Kaseya, qui a touché au moins 1 500 de ses clients fournisseurs de services gérés, et le piratage de SolarWinds.

Triple extorsion: Par le passé, les ransomwares consistaient pour les attaquants à chiffrer les informations trouvées sur un système, puis à exiger une rançon en échange d'une clé de déchiffrement. Avec la double extorsion, les attaquants exfiltrent également les données vers un emplacement distinct. Avec le ransomware à triple extorsion, les attaquants menacent également de divulguer les données s'ils ne sont pas payés. La triple extorsion a été utilisée par plusieurs acteurs menaçants, notamment Vice Society lors d'une attaque contre le système de transport en commun rapide de la baie de San Francisco.

Ransomware en tant que service (RaaS): Fini le temps où chaque attaquant devait écrire son propre code de ransomware et exécuter un ensemble unique d'activités. Le RaaS est un logiciel malveillant en location. Il permet aux attaquants d'utiliser une plateforme qui fournit le code de ransomware et l'infrastructure opérationnelle nécessaires pour lancer et maintenir une campagne de ransomware.

Le ransomware est un type de logiciel malveillant qui peut soit chiffrer toutes vos données, soit vous empêcher d'accéder à votre ordinateur. Les ransomwares ne sont pas près de disparaître non plus. Ils continueront probablement à évoluer de différentes manières. La meilleure façon de se défendre contre les ransomwares est de reconnaître et d'éviter les tentatives d'hameçonnage, d'installer un logiciel antivirus sur votre ordinateur et de sauvegarder tous vos fichiers.