Ransomware : ceux qui font le plus parler d’eux ne sont pas les plus dangereux

Des entreprises continuent de payer les rançons demandées par les cyberdélinquants. Et pour des montants de plus en plus élevés. Selon Coveware, au premier trimestre 2020, la somme versée a atteint, en moyenne, 111 605 $ par incident, soit 33 % de plus qu’au dernier trimestre 2019.

Dans un billet de blog, le consultant attribue cette progression au fait que « les distributeurs de rançongiciels ont de plus en plus visé les grandes entreprises et ont réussi à les forcer à payer des rançons pour recouvrer leurs données ». En filigrane, le constat est porteur d’indicateurs peu rassurants quant à la posture de sécurité de ces grandes entreprises. Toutefois, Coveware assure que « les grands paiements de rançon constituent une minorité en volume ». Mais ceux-ci ont donc significativement tiré la moyenne vers le haut.

Le montant médian des rançons a également progressé sur trois mois, mais moins sensiblement, s’établissant à 44 201 $, contre 41 179 $ un trimestre plus tôt. Et Coveware de juger que, « la plupart des rançons payées sont relativement modestes » en définitive.

Pour les opérateurs de ransomwares tels que Clop, DopplePaymer, Maze, Ragner ou Snatch et encore Sekhmet, le bilan n’est pas très brillant, soulignant un peu plus que les sites Web sur lesquels ils divulguent des données de victimes marquent plus des échecs que des succès – ne leur en déplaise. Car pour Coveware, les grands vainqueurs du trimestre écoulé sont Sodinokibi, Ryuk et Phobos, comme aux troisième et quatrième trimestres 2019.
En somme, certains de ceux qui s’attachent à attirer à eux l’attention médiatique ne constituent en définitive qu’un épiphénomène dans un mouvement plus large et considérablement plus menaçant. D’ailleurs, pour Coveware, les cas de ransomware doublé d’exfiltration de données ne constituent que moins de 9 % des incidents. Mais pas de quoi négliger pour autant la menace qu’ils représentent.

Selon Coveware, la compromission de services RDP continue de s’imposer comme le principal vecteur d’attaque pour les ransomwares. Récemment, Kaspersky indiquait que les attaques en force brute sur les services RDP exposés directement sur Internet se sont sensiblement multipliées depuis le début de la pandémie. Pour autant, le nombre de ces services est resté globalement stable. Mais voilà, Coveware indique que « les identifiants RDP d’une adresse IP d’entreprise peuvent s’acheter pour seulement 20 $ au marché noir ». Et sans surprise, le hameçonnage continue de s’inscrire en seconde place des menaces exploitées en préalable à un déploiement de rançongiciels.

Phobos et Sodinokibi misent majoritairement – voire exclusivement pour le premier – sur les accès RDP. Ryuk se concentre quant à lui sur le phishing, ignoré par Phobos et marginalement exploité par Sodinokibi. Ce dernier apparaît miser largement sur les vulnérabilités logicielles non corrigées. Et celles-ci ne manquent pas, même si elles font largement parler d’elles.

Toutefois, quantitativement, selon les observations de Coveware, c’est Ryuk qui apparaît le plus largement déployé avec succès par les assaillants. Pour en retirer les paiements les plus élevés – pour près de 1,4 M$ en moyenne, par victime.