Censuswide : près de la moitié des victimes de ransomware sont à nouveau touchées par le même attaquant,
après avoir payé la première rançon

Dans un billet de blog, le Centre national de cybersécurité du Royaume-Uni (NCSC) exhorte les organisations à la prudence. Elle a parlé d'une entreprise qui a été victime d'une attaque de ransomware et a payé des millions en bitcoins afin de restaurer le réseau et de récupérer les fichiers.

Cependant, la société en est restée là, ne procédant pas à l’analyse de la façon dont les cybercriminels ont infiltré le réseau. Cela s’est retourné contre eux puisque les mêmes opérateurs ont infiltré le réseau par les mêmes brèches avec le même ransomware moins de deux semaines plus tard. L'entreprise a fini par payer une deuxième fois une rançon.

« Nous avons entendu parler d'une organisation qui a payé une rançon (un peu moins de 6,5 millions de livres sterling avec les taux de change actuels) et a récupéré ses fichiers (à l'aide du décrypteur fourni), sans aucun effort pour identifier la cause première et sécuriser son réseau. Moins de deux semaines plus tard, le même attaquant a de nouveau attaqué le réseau de la victime, en utilisant le même mécanisme qu'auparavant, et a redéployé son ransomware. La victime a estimé qu'elle n'avait d'autre choix que de payer à nouveau la rançon », est-il noté dans le billet de blog du NCSC.

En quoi est-ce important de le rappeler ? Malgré les mises en garde contre cette pratique, nous avons récemment vu plusieurs grandes organisations remettre des millions de dollars en cryptomonnaie à des opérateurs de ransomware, mais cela signifie-t-il que les attaques de suivi sont moins susceptibles de se produire ? Pas selon un nouveau rapport qui révèle que près de la moitié de toutes les victimes sont à nouveau ciblées par les mêmes pirates.

Nom : ransomware.png
Affichages : 847
Taille : 117,4 Ko

En clair, la situation n'est pas si rare d'après une enquête menée par Censuswide auprès de professionnels de la sécurité sur sept marchés dans le monde, notamment à Singapour, en Allemagne, en France, aux États-Unis et au Royaume-Uni.

Selon les résultats de l'enquête, la majorité des entreprises qui choisissent de payer pour récupérer l'accès à leurs systèmes chiffrés subissent une attaque de ransomware ultérieure. Et près de la moitié de ceux qui paient disent que certaines ou toutes leurs données récupérées ont été corrompues.

Quelque 80*% des organisations qui ont payé des demandes de rançon ont subi une deuxième attaque, dont 46*% pensaient que le logiciel de rançon suivant était utilisé par les mêmes pirates. Parmi ceux qui ont payé pour retrouver l'accès à leurs systèmes, 46 % ont déclaré qu'au moins certaines de leurs données étaient corrompues. À l'échelle mondiale, 51 % ont récupéré leur système chiffré sans aucune perte de données, tandis que 3 % ont déclaré qu'ils n'avaient récupéré l'accès à aucune donnée chiffrée. Le rapport a révélé qu'une organisation en particulier aurait payé un montant de ransomware de plusieurs millions de dollars, pour être la cible d'une deuxième attaque par les mêmes attaquants dans les quinze jours qui ont suivi.

À Singapour, 90 % ont subi une deuxième attaque de ransomware après avoir payé la première rançon, et 28 % ont récupéré l'accès aux données corrompues. Quelque 73*% ont admis avoir perdu des revenus à la suite de l'attaque, contre une moyenne mondiale de 66*%, tandis que 40*% ont vu leur marque ou leur réputation affectée, contre 53*% dans le monde.

Quelque 37 % des organisations singapouriennes qui ont payé un ransomware ont déboursé entre 140 000 et 1,4 million de dollars, et 5 % ont payé des rançons d'au moins 1,4 million de dollars. 13 % ont reconnu avoir dû licencier des employés en raison de pertes financières suite à une attaque, tandis que 20 % ont été contraints de fermer.

Le vice-président Asie-Pacifique de Cybereason, Leslie Wong, a déclaré : « Les entreprises de Singapour doivent comprendre que le paiement d'une demande de rançon ne garantit pas une récupération réussie, n'empêche pas les attaquants de frapper à nouveau l'organisation victime, et en fin de compte ne fait qu'exacerber le problème en encourageant les attaques. Faire face à la menace en adoptant une stratégie de prévention avant tout pour une détection précoce permettra aux organisations d'arrêter les ransomwares perturbateurs avant qu'ils ne nuisent à l'entreprise ».

À l'échelle mondiale, l'enquête a révélé que 81 % des personnes interrogées étaient très préoccupées par les risques posés par de telles attaques, 73 % déclarant avoir mis en place des politiques ou des plans pour gérer spécifiquement les attaques de ransomware.

Nom : dechiffrement.png
Affichages : 837
Taille : 271,6 Ko

Pourquoi le ransomware a toujours autant de succès : plus d'un quart des victimes paient la rançon

Une proportion importante des organisations victimes d'attaques au ransomware choisissent de payer la rançon, car elles ont l'impression de n'avoir d'autre choix que de céder aux demandes des cybercriminels, selon un rapport publié en novembre. 27 % des personnes interrogées dans le cadre de l’enquête annuelle de Crowdstrike ont déclaré que leur organisation avait payé la rançon après que leur réseau a été chiffré avec un rançongiciel. Le rapport note également que ces attaques sont devenues récurrentes du fait que le montant moyen de la rançon dépasse désormais le million de dollars.

L'étude a été menée par le cabinet de recherche indépendant Vanson Bourne auprès de 2 200 décideurs informatiques et professionnels de la sécurité issus d'un large éventail de secteurs au cours des mois d’août et septembre 2020 en Australie, en France, en Allemagne, en Inde, en Italie, au Japon, au Moyen-Orient, aux Pays-Bas, à Singapour, en Espagne, au Royaume-Uni et aux États-Unis. Tous les répondants provenaient d'organisations comptant 250 employés ou plus et représentaient des organisations des secteurs privé et public.

Une question posée par l’étude concernait le paiement de la rançon exigée par les cybercriminels. Selon le rapport, la décision de payer ou non la rançon peut être difficile à prendre pour les organisations. Le Trésor américain a averti que « les entreprises qui facilitent le paiement de rançons aux cyberacteurs au nom des victimes, y compris les institutions financières, les compagnies d'assurance et les entreprises impliquées dans la criminalistique numérique et la réponse aux incidents, non seulement encouragent les futures demandes de paiement de rançons, mais risquent également de violer les règlements de l'OFAC [Office of Foreign Assets Controls] ».

Malgré cet avertissement de ne pas céder et payer la rançon, de nombreuses entreprises justifient ce paiement par le fait que l'obtention de la clé de déchiffrement des attaquants est considérée comme le moyen le plus rapide et le plus facile de restaurer le réseau. Les organisations de plus d’un quart des répondants ont choisi de payer la rançon, pour un total moyen de 1,1 million de dollars US payé par chacune.

Les données ramenées au plan régional n’améliorent pas la situation. L'Asie-Pasifique étant la plus touchée avec des versements moyens de 1,18 million de dollars US. L'EMEA est arrivée à 1,06 million de dollars, tandis que les États-Unis ont été plus faibles, avec une moyenne d'un peu moins de 1 million de dollars versés aux agresseurs.

Cependant, non seulement le fait de payer la rançon encourage les gangs à poursuivre leurs campagnes parce qu'ils savent qu'elles sont rentables, mais il n'y a pas non plus de garantie que les pirates informatiques restaureront réellement le réseau dans son intégralité.

La « double extorsion »

En 2019, des hackers derrière le ransomware Maze ont introduit une nouvelle tactique connue sous le nom de double extorsion; les attaquants volent des fichiers non chiffrés et menacent de les diffuser publiquement si une rançon n'est pas payée. Désormais, non seulement les victimes sont extorquées par le chiffrement de leurs fichiers, mais aussi par le risque que leurs données soient publiées et provoquent une violation de données.

Cette tactique a été rapidement adoptée par d'autres hackers durant leurs campagnes d'attaques aux ransomwares, dont les auteurs ont parfois créé des sites pour publier les fichiers volés aux victimes. Dans le cadre de cette tactique de double extorsion, la plupart des opérations de ransomware obligent la victime à payer une seule rançon qui fournira à la fois un décrypteur pour leurs fichiers chiffrés et une promesse de ne pas partager et de supprimer les fichiers volés. Certaines opérations de ransomware, comme AKO / Ranzy, exigent deux paiements de rançon, un pour le décrypteur et un autre pour ne pas publier de données volées.

Les fournisseurs de cybersécurité déconseillent généralement aux entreprises de payer après avoir subi des attaques de ransomware, préconisant plutôt que les entreprises adoptent une stratégie de protection et de récupération des données. Cybereason, cependant, a noté que les plans de sauvegarde des données ne fonctionneraient pas aussi efficacement lorsque les cybercriminels lançaient des attaques de logiciels malveillants à « double extorsion ».

Dans ce cas de figure, l'entreprise n'est plus focalisée sur la perspective de payer un gros montant pour récupérer ses données. Les attaques de ransomware signalées peuvent avoir un impact négatif sur la perception du public d’une entreprise, certaines personnes soulevant des questions sur leurs pratiques de sécurité. Cinquante-trois pour cent des participants à l’enquête ont déclaré que leur marque avait été affectée par la divulgation d’un ransomware, et 66 % ont déclaré avoir perdu des revenus en raison d’une attaque.

Source : rapport Censuswide

Et vous ?

Que pensez-vous des conclusions de cette étude ?
Pourquoi, selon vous, un si grand nombre d'entreprises préfèrent encore payer ?
Cela vous semble-t-il surprenant que, malgré tout, un grand nombre d'entre ces entreprises qui paient se fassent attaquer par le même ransomware ?

Voir aussi :

Les opérateurs derrière les ransomwares ne suppriment pas toujours les données volées aux entreprises qui ont payé des rançons, selon un rapport de Coveware
Victime d'un ransomware, une entreprise paie des millions aux cybercriminels pour restaurer ses fichiers. L'entreprise se fait attaquer à nouveau par le même ransomware et paie encore
Par appel téléphonique, des opérateurs derrière des ransomwares veulent intimider des victimes, qui souhaitent éviter de payer la rançon en tentant de restaurer le système depuis une sauvegarde
Ransomware : augmentation des techniques de triple extorsion qui combine le chiffrement de fichiers, le vol de données et les attaques DDoS, par Philippe Alcoy, spécialiste sécurité chez NETSCOUT
Le DOJ saisit 2,3 millions de dollars en cryptomonnaie versés aux opérateurs du ransomware Darkside, grâce à une "clé privée" dont dispose le FBI
Comment les acteurs des ransomwares ajoutent des attaques DDoS à leur arsenal pour augmenter la pression sur les victimes