Ransomware : les factures s’envolent, mais sont souvent payées

Selon Codeware, la tendance aux attaques par ransomware est à la hausse, et sensiblement : le montant moyen des rançons payées au quatrième trimestre 2019 s’élève à plus de 84 000 $, soit 104 % de plus qu’au trimestre précédent.

C’est l’effet de « la diversité des acteurs menaçants attaquant activement les entreprises ». Et cela passe notamment par des « Ryuk et Sodinokibi qui se sont déportés sur le terrain des grandes entreprises et se concentrent sur les grands comptes où ils peuvent essayer d’extorquer l’organisation pour des montants à sept chiffres. Par exemple, les paiements pour Ryuk ont atteint un nouveau sommet de 780 000 $ pour les entreprises affectées ».

Dans 98 % des cas, le paiement se traduit effectivement par la fourniture d’un outil de déchiffrement… qui fonctionne dans 97 % des cas. Mais ceux qui espèrent, en cédant, pouvoir se remettre sur pied rapidement, ne devraient pas s’attendre à des miracles : en moyenne, un incident se traduit tout de même par une indisponibilité de 16,2 jours. On relèvera au passage que la compromission d’accès RDP mal sécurisés s’inscrit en tête des vecteurs d’infection initiale, avec 57,4 % des cas, devant donc le hameçonnage à 26,3 %, et l’exploitation de vulnérabilité logicielle à 12,9 %.

Les observations des équipes de KPN font ressortir des chiffres impressionnants. Elles indiquent avoir analysé plus de 150 000 infections par Revil/Sodinokibi au cours des 5 derniers mois, et avoir extrait les notes de demande de rançon de 148 échantillons, pour un montant total de « plus de 38 millions de dollars ». Le montant moyen demandé s’établit à plus de 260 000 $, avec un maximum observé de 3 000 000 $. Et selon les données publiées par KPN, la France n’a pas été épargnée.

Selon l’édition 2020 de l’étude State of the Phish de Proofpoint, réalisée auprès de plus de 600 professionnels de la sécurité IT entre l’Allemagne, l’Australie, l’Espagne, les Etats-Unis, la France, le Japon, et le Royaume-Uni, environ la moitié des organisations frappées l’an dernier par un ransomware ont décidé de payer la rançon demandée : 32 % des organisations représentées ont été touchées et n’ont pas payé ; 33 % ont été affectées et ont cédé.

Dans 69 % des cas de paiement, l’accès aux données a été retrouvé après le premier paiement. Mais 22 % n’ont pas retrouvé l’accès à leurs ressources, et 7 % ont renoncé après avoir reçu des demandes de paiement supplémentaires. Aux Etats-Unis, 51 % des organisations touchées auraient payé. En moyenne, le hameçonnage a conduit à une infection par maliciel dans 35 % des attaques.