Les rançongiciels confirment leur place de menace n°1 en 2016

En fin d’année dernière, beaucoup s’attendaient à ce que les ransomwares occupent une place prépondérante dans le paysage de la menace en 2016. Aujourd’hui, pour Cisco, cela ne fait pas de doute : « les rançongiciels dominent le marché des logiciels malveillants ». Dans son rapport sur la menace de mi-année, l’équipementier souligne que « même si ce n’est pas une menace nouvelle, elle a évolué pour devenir le type de logiciel malveillant le plus rentable de l’Histoire ». Surtout, pour Cisco, la course à la sophistication observée au cours des derniers mois apparaît loin d’être terminée. L’équipementier s’attend ainsi à ce que « la prochaine vague de rançongiciels soit encore plus pervasive et résiliente ». Alors, pour l’équipementier, « organisations et utilisateurs finaux devraient se préparer maintenant » aux évolutions à venir, « en sauvegardant leurs données critiques et en confirmant que ces sauvegardes ne sont pas susceptibles d’être compromises ». Autrement dit, une initiative comme celle lancée par Europol, Kaspersky et Intel avec No More Ransom ne doit pas conduire à développer des espoirs trop élevés. Heureusement, elle ne fait pas l’impasse sur les recommandations de base – en anglais, au mois pour l’heure, ce que l’on ne peut au passage que regretter.

Et cela d’autant plus que si la distribution des rançongiciels se fait essentiellement par pourriel et publicités vérolées, les cybercriminels étendent le spectre de leurs outils de diffusion. Et Cisco de faire référence à SamSam, distribué via des serveurs JBoss compromis. Une approche dont l’équipementier s’attend à ce qu’elle fasse tâche d’huile : ses chercheurs « anticipent, à partir des tendances et des avancées observées à date, que le rançongiciel à auto-propagation est la prochaine étape pour les innovateurs du domaine ». A la manière d’autres types de logiciels malveillants, donc, les vers. Et pour s’adapter plus vite aux protections, les développeurs de ransomwares sont appelés à utiliser des architectures modulaires, offrant plus de flexibilité.

De son côté, Solutionary, filiale de NTT Security, relève une forte croissance des détections de rançongiciels chez ses clients depuis février 2016, avec une forte prévalence d’un CryptoWall représentant 94 % des variantes détectées. Le secteur de la santé serait tout particulièrement concerné, représentant 88 % des détections sur la clientèle de Solutionary.

Mais si la sauvegarde reste la meilleure et la plus essentielle des préventions, certains estiment pouvoir offrir une solide protection. C’est le cas de SentinelOne qui propose désormais à ses clients un programme de garantie de protection « à hauteur de 1000 $ par terminal, ou jusqu’à 1 M$ par entreprise, pour les protéger contre les implications financières d’une attaque par rançongiciel », dans le cas d’une attaque réussie et si les outils de l’éditeur « n’ont pas été capables de la bloquer ou de remédier à ses effets ».