Ransomware : les menaces de divulgation de données représentent moins d’un tiers des cas

Selon Coveware, les cyberattaques où un ransomware est déclenché après un vol de données ne représentaient que 30 % des cas de rançongiciel au second trimestre. Et pourtant, les Nephilim, Clop, Sekhmet, Maze, Sodinokibi, DoppelPaymer, Pysa, ou encore Netwalker, Avaddon et Ako ne manquent pas de faire parler d’eux.

Il faut dire qu’ils se sont illustrés en fanfare sur la période : Expanscience, SPIE, Prismaflex,Neocles (Orange Business Services), Carlson Wagonlit Travel, Rabot Dutilleul, Bolloré Transport & Logisticsau Congo, MMA, Faro Technologies, le département d’Eure-et-Loir, Xerox, Enel, Honda, l’Afpa, Cognizant,Roger Martin, Holy-Dis, Logéale Immobilière, LG Electronics, ou encore la maison-mère de Jack Daniels, ou encore Canon… Mais d’autres sont plus discrets, comme Evil Corp, qui opère WastedLocker, qui a frappé Garmin au cœur de l’été.

Dès lors, les tentatives d’extorsion combinant ransomware et menace de divulgation de données volées ne représentent qu’un arbre cachant une vaste forêt. Mais attention : la tendance est clairement à la hausse. Au premier trimestre, Coveware estimait à seulement 8,7 % la part des attaques de ransomware combinant l’exfiltration de données. Au final, Sobinokibi, Maze et Phobos se partagent le podium, le second ayant, comme le souligne Coveware, considérablement évolué au second semestre, « augmentant volume et taille des attaques ». Et cela en s’appuyant sur des partenaires aux équipes plus étoffées et plus compétentes.

Au cours du trimestre écoulé, le montant moyen des rançons payées s’est établi à près de 180 000 $, selon Coveware, soit une progression de 60 % par rapport au premier trimestre. Mais attention aux disparités, extrêmes. Les demandes de rançon à quelques dizaines de milliers de dollars ne sont pas rares. Durant le premier semestre, Covid-19 oblige, les négociations n’ont pas été rares, mais souvent fructueuses. Même si certains négociateurs ne font pas preuve de toute la retenue et du professionnalisme que l’on serait en droit d’en attendre. Les grosses demandes à plusieurs millions de dollars apparaissent en revanche relativement peu fréquentes. Mais là encore, la négociation n’est pas rare. Carslon Wagonlit Travel semble ainsi avoir payé 4,5 M$ au lieu des 10 M$ initialement demandés. Le même montant aurait été réclamé à Garmin.

Le groupe Revil, aux commandes de Sodinokibi, ou encore les opérateurs de NetWalker, par exemple, ne semblent pas gênés par ce genre de grand écart, n’hésitant pas à demander plusieurs centaines de milliers de dollars, voire même 15 M$ directement. Revil double son prix lorsque ses demandes n’ont pas été satisfaites dans les temps. Mais, quel que soit le montant, les victimes déterminées à ne pas céder et qui n’engagent pas même la conversation ne sont pas rares.

Au cours des derniers mois, certaines vulnérabilités bien connues dans des systèmes d’accès distant aux systèmes d’information ont été régulièrement mises en avant, comme vecteur d’entrée potentiel ou avéré dans l’environnement des victimes. Mais pour Coveware, si l’exploitation de vulnérabilités est courante, le phishing reste plus utilisé, derrière la compromission de systèmes RDP. En fait, cela dépend de la taille des entreprises… et des groupes d’attaquants.

La compromission de services RDP semble principalement concerner les organisations de moins d’un millier de collaborateurs, et encore celle à moins de 100. Au-delà, le hameçonnage prend les devants. L’exploitation de vulnérabilités semble surtout concerner les grandes organisations à plus d’un millier de collaborateurs. Mais Maze semble préférer le phishing, tandis que les opérateurs de Phobos et le groupe Revil apparaissent plus miser sur les services RDP.