Ransomware : des attaques de plus en plus ciblées et visant les entreprises

Récemment, des chiffres confirmaient le retour en fanfare des rançongiciels. Mais il semble moins question désormais d’opérations en volume, cherchant à toucher de manière opportuniste un maximum de victimes, que d’opérations ciblées, visant en particulier les entreprises. C’est du moins ce que montrent les toutes récentes études de Malwarebytes et de Vectra.

La première fait état d’une progression de 365 % des détections de ransomwares en entreprise, sur un an, au second trimestre 2019, contre un recul de 12 % des observations dans le monde du grand public. Malwarebytes explique le phénomène simplement : « les cyberdélinquants cherchent des retours sur investissement plus importants ». La prise en otage de données sensibles, en particulier, peut permettre de fixer la barre plus haut pour les montants demandés.

Selon Malwarebytes, les rançongiciels les plus utilisés à l’encontre des entreprises sont actuellement Ryuk et Phobos. Plus tôt cette année, le premier a été identifié comme une menace sérieuse pour les entreprises par Crowdstrike. Et pour Malwarebytes, « Ryuk devrait rester à l’esprit de toute personne s’inquiétant des ransomwares aujourd’hui ». De son côté, Phobos marche dans les pas de Crysis, ou encore Dharma, en visant les services RDP mal sécurisés. Et les services RDP exposés directement sur Internet ne manquent malheureusement pas.

De son côté, Vectra rappelle que Ryuk ne se propage pas seul : un maliciel tel qu’Emotet ou Trickbot peut être utilisé pour assurer le dépôt du ransomware. Et justement… le second peut être mis à profit « pour énumérer les partages réseau et chiffrer tout ce qui se trouve dans le rayon d’attaque ». Le spécialiste de l’analyse du trafic réseau fait alors état, à partir des données d’incidents d’un échantillon de plus de 300 de ses clients, d’une centaine de cas par mois, en moyenne, au premier semestre, après un pic à plus de 160 au mois de janvier. Selon les données de Vectra, c’est le secteur des services financiers et de l’assurance qui apparaît le plus exposé à la menace de prise en otage par rançongiciel de partages réseau, dans la région Europe/Moyen-Orient, devant la santé et l’énergie. Et sur le Vieux Continent, l’Allemagne apparaît particulièrement concernée. Mais la France n’est pas à l’abri.

Selon Malwarebytes, l’avenir n’est pas radieux. L’éditeur anticipe ainsi une croissance des infections manuelles, « permettant aux attaquants de désactiver les outils de sécurité ». Et il va falloir continuer de compter avec des attaques combinées à l’instar de celles impliquant Emotet, Trickbot et in fine Ryuk.