Ransomware : une menace appelée à progresser encore

Déjà, début 2016, sur fond de campagnes Locky, TeslaCrypt ou encore Petya, PhishMe alertait : ce n’était sûrement pas à un reflux des ransomware qu’il fallait s’attendre ; le nombre et l’ampleur des campagnes liées à ces logiciels malveillants étaient appelés à progresser. Quelques mois plus tard, de nombreux experts s’attachaient à faire passer le même message, alors qu’étaient proposés, au marché noir, des ransomware as a service (RaaS). Depuis, pour WannaCry, NotPetya ou encore BadRabbit sont passés par là, balayant sur leur passage ce qu’il pouvait rester d’incrédulité.

Selon Cybersecurity Ventures, la facture mondiale des rançongiciels devrait dépasser 5 Md$ cette année, contre seulement 325 M$ en 2015. Mais la tempête semble loin d’être passée : dans moins de deux ans, il faudrait pour plus de 11,5 Md$ de dégâts provoqués par des crypto-maliciels.

Au printemps, Orli Gan, responsable de l’offre prévention contre les menaces de Check Point, ironisait sur la cybercriminalité, reprenant le discours marketing d’une entreprise conventionnelle, pour souligner l’importance du phénomène. Son approche apparaît on ne peut plus d’actualité. 

Si le #ransomeware était un produit... quel succès ! (sauf pour #WannaCry) #CPX17 pic.twitter.com/P5Xy30vDjj

— Valery Marchive (@ValeryMarchive) May 17, 2017

Selon une étude de l’institut Ponemon pour Barkly, plus de la moitié des entreprises ont connu un épisode de ransomware cette année. Et pour 40 % de celles-ci, il n’était pas unique.

Ce n’est donc pas une surprise si, pour Bitdefender, notamment, les ransomwares figurent en tête des menaces de l’année 2017. Et pour Sophos, ce n’est pas près de s’arrêter : les rançongiciels devraient figurer en bonne place l’an prochain, avec notamment les familles Cerber, un RaaS, et Locky. Check Point estime d’ailleurs que ce dernier est en train de faire son grand retour. Fortinet n’envisage pas l’avenir de manière bien différente, mais il s’attend à ce que les cyber-délinquants se tournent aussi vers les fournisseurs de services Cloud.

L’industrie de la sécurité a bien pris la mesure de la menace. L’édition 2017 de RSA Conference lui a même consacré une journée entière de séminaire ! Des chercheurs de l’université polytechnique de Milan tentent d’intégrer des capacités de résilience directement au sein du système de fichiers de Windows, avec le projet ShieldFS.

Plusieurs acteurs misent aujourd’hui sur une approche duale : d’un côté, il s’agit de détecter les comportements suspects pour y mettre un terme le plus vite possible ; de l’autre, il s’agit de s’appuyer sur de rapide micro-sauvegardes, des instantanés ou snapshots, pour permettre la récupération rapide des fichiers éventuellement chiffrés avant l’interception du processus malveillant.

SentinelOne s’est rapidement engagé dans cette direction, dès la fin 2015, allant jusqu’à proposer une garantie contractuelle. Ses capacités dites de roll back ont d’ailleurs séduit Pacifica/Crédit Agricole Assurances. Sophos a adopté la même approche avec Intercept X, ainsi que Carvir Cyber Security, ou encore Kaspersky. Check Point Software a présenté sa solution en la matière au mois de février. Et Acronis a intégré des mécanismes de protection comparables à la dernière version de son outil de sauvegarde True Image.

Reste que beaucoup de rançons continuent d’être payées, malgré le message répété à l’envi selon lequel c’est à surtout ne pas faire : toujours selon l’étude de l’institut Ponemon pour Barkley, près de 65 % des entreprises ont payé une rançon dont le montant moyen s’élevait à 3 675 $. Et il y a peut-être au moins une raison sérieuse à cela : selon une étude du même institut, mais cette fois-ci pour Accenture, il faut compter en moyenne 23 jours pour se relever d’une attaque par ransomware. C’est beaucoup, et probablement bien trop, pour bon nombre d’organisations. Alors dans ce contexte, les assurances couvrant le paiement de rançons, bien que controversées, pourrait bien avoir de beaux jours devant elles.