Petit à petit, les gains générés par ces attaques et le sentiment d’impunité causé par la faible capacité des autorités à sanctionner les cybercriminels ont entraîné l’émergence d’un réel écosystème de la cybercriminalité autour du ransomware (nous reviendrons sur les détails de cet écosystème dans le billet suivant).
À noter que, début 2021, des opérations de police ont déstabilisé cet écosystème en démantelant et en arrêtant des groupes établis de longue date, comme Emotet et Netwalker, ou encore en menant des opérations ciblées sur des utilisateurs de ces systèmes d’attaque, comme celles ayant touché Egregor. Ces opérations sont capitales : elles ont eu des conséquences directes (et majeures) sur les groupes concernés, ainsi qu’un effet dissuasif sur les autres. Après le démantèlement de Netwalker, Ziggy et Fonix ont annoncé l’arrêt de leurs activités cybercriminelles. Malgré ce coup d’arrêt très positif, des dizaines de plateformes peuvent les remplacer, et l’effet sur le moyen terme est incertain.
Des cybercriminels toujours plus motivés et inventifs pour faire payer les rançons
Face à la multiplication des attaques, les organisations ont pris des mesures de défense compliquant la tâche des cybercriminels. En particulier, les stratégies de sauvegarde et de reconstruction efficace des SI rendent le blocage des systèmes moins pertinent pour faire payer la rançon. Ceci est particulièrement vrai dans les grandes entreprises, les plus petites restant souvent très vulnérables.
Les cybercriminels adoptent actuellement des stratégies de plus en plus élaborées pour faire payer les entreprises. Le groupe cybercriminel derrière le malware Ragnar Locker a par exemple fait la publicité de son attaque contre Campari via Facebook, à l’aide d’un compte piraté et de contenus sponsorisés. En Finlande, lors d’un vol de données concernant près de 40 000 patients d’une clinique psychiatrique, l’attaquant n’a pas seulement demandé une rançon à l’établissement, mais également individuellement aux patients pour une non-divulgation de leurs informations personnelles, en échange de 200 euros. Encore plus étonnant, selon le FBI, en 2020, certains groupes ont appelé les victimes de ransomware pour les inciter à payer la rançon en les menaçant personnellement.
Au-delà des demandes de rançons de plus en plus insistantes, les moyens utilisés pour pénétrer dans les systèmes d’informations sont aussi de plus en plus sophistiqués. Des hackers ont par exemple essayé de corrompre un employé de Tesla contre 1 million de dollars pour que ce dernier introduise un malware (un logiciel malveillant) dans le réseau informatique de l’entreprise. Grâce aux fonds collectés lors des précédentes attaques, les cybercriminels peuvent augmenter leurs capacités d’attaques et disposer de moyens financiers usuellement à disposition de groupes liés à des États...
Ces derniers exemples illustrent l’importance, pour les cybercriminels, de la rentabilité des attaques. Une des raisons pour lesquelles le ransomware est la vedette des cyberattaques est que, aujourd’hui encore, beaucoup d’organisations payent afin de récupérer la clé de déchiffrement - si elle existe. Cela encourage la cybercriminalité.
Ajouter un commentaire