Ransomware : selon Coveware, la part des victimes payant continue de chuter drastiquement

Spécialisé dans la réponse aux incidents, Coveware, estime que seulement 34 % des attaques avec ransomware ont abouti à un paiement de la part de la victime au second trimestre de 2023, ce que l'entreprise a qualifié de « record historique ».

Dans un billet de blog publié fin juillet, Coveware a indiqué que cette baisse est le résultat des « effets cumulatifs que nous avons précédemment notés des entreprises qui continuent d'investir dans la sécurité, dans la continuité d’activité et dans la formation à la réponse aux incidents ». Ce chiffre représente une baisse de 45% par rapport au premier trimestre de cette année, mais de 77 % par rapport au troisième trimestre 2020 et et de 85 % par rapport au premier trimestre 2019.

Cependant, comme le souligne le billet de blog de Coveware, les acteurs malveillants continuent d'innover et de faire évoluer leurs tactiques. Là, l'augmentation des attaques utilisant uniquement l'exfiltration de donnéescomme moyen de pression constitue un élément central. Dans cette approche, l'acteur malveillant vole les données d'une victime et menace de les divulguer comme moyen de chantage, mais ne chiffre pas le réseau de la victime comme avec un rançongiciel.

« Les attaques [s’appuyant sur l’exfiltration seule] ne provoquent pas de perturbations matérielles des affaires comme l'impact du chiffrement, mais peuvent nuire à la marque et créer des obligations de notification. La probabilité qu'une rançon soit payée est inférieure à 50%, mais le montent d'une demande de rançon sur [ces] attaques est relativement élevé. Cela crée un niveau de profit attendu en moyenne modéré », a écrit Coveware.

Ce type d'attaque est devenu plus fréquent ces derniers mois. Bien que les attaquants aient des moyens et des motivations différents, les analystes pensent que les attaques sans chiffrement sont considérées comme présentant un risque moindre d'intervention des forces de l'ordre que les attaques qui paralysent ou perturbent une entreprise ou un service critique.

Un exemple récent notable est la campagne du groupe Cl0p contre les clients du produit MoveIt Transfer de Progress Software, qui a commencé fin mai et a fait des centaines de victimes directes et indirectes. Un affidé du groupe Cl0p a exploité une vulnérabilité inédite dans MoveIt Transfer pour accéder aux instances de centaines de clients et voler des données confidentielles.

Bien que l'attaque de MoveIt Transfer n'ait pas impliqué de véritable rançongiciel ayant chiffré les données et des systèmes des victimes, le gang Cl0p a publié les données de dizaines d'organisations ayant refusé de payer la rançon exigée. Manifestement conscient de la difficulté d’accéder aux données divulguées via Tor, le groupe s’est lancé dans leur partage via BitTorrent. 

Le sujet du succès financier de cette campagne pour Cl0p ne fait pas consensus. Mais selon Coveware, le groupe pourrait gagner 75 à 100 millions de dollars avec cette campagne, grâce à seulement « une petite poignée de victimes qui ont succombé à des paiements de rançon très élevés ».

« Alors que la campagne MOVEit pourrait finir par impacter plus de 1 000 entreprises directement, et bien plus encore indirectement, un très, très petit pourcentage de victimes a tenté de négocier, encore moins envisagé de payer », indique Coveware. « Ceux qui ont payé, ont payé bien plus que lors des précédentes campagnes Cl0p, et plusieurs fois plus que le montant moyen de rançon mondial de 740 144 dollars (+126 % par rapport au T1 2023) ». Le paiement médian de rançon, pour comparaison, était de 190 424 dollars (en hausse de 20 % par rapport au T1 2023).

Interrogé sur les raisons pour lesquelles les victimes paieraient des millions de dollars pour des données dérobées à partir d'un produit de transfert de fichiers managé, le PDG et co-fondateur de Coveware, Bill Siegel, a déclaré que ce serait « parce qu'elles craignent que la divulgation publique des données volées ne cause des dommages à leur marque et à leur image publique ».

Coveware estime que 29 % des victimes d'attaques avec exfiltration seule ont payé la rançon au second trimestre, contre 53 % au premier trimestre 2022. Bille Siegel a déclaré avoir l'impression que les attaques basées sur l'extorsion seule sont arrivées à un « point de basculement », où de moins en moins de victimes sont disposées à payer la rançon, bien que certaines entreprises continuent de céder.

Le billet de Coveware fait suite à un rapport publié plus tôt cet été par la société d'analyse de cryptomonnaies Chainalysis, qui a constaté que les paiements de rançons avaient fortement augmenté. La société a découvert que, durant la première moitié de cette année, les acteurs du rançongiciel avaient déjà extorqué au moins 449,1 millions de dollars – une augmentation de 175,8 millions de dollars par rapport à la même période en 2022.