L'ANSSI pointe une hausse de 255% des attaques par ransomware en 2020

Alexandre Boero
Journaliste chargé de l'actualité – Reporter – Vidéaste
10 février 2021 à 12h26
1
Comment se prémunir et se débarrasser d’un ransomware ?

Le ransomware est une tendance qui ne cesse de gagner du terrain depuis 2018. Dans son dernier rapport, l'ANSSI fait état d'une hausse considérable des signalements, et d'une véritable industrialisation des attaquants, particulièrement bien organisés.

L'Agence nationale de la sécurité des systèmes d'information, l'ANSSI, a publié au début du mois de février son rapport d'état de la menace rançongiciel en France, concernant les entreprises et les institutions, cibles premières de ce terrible fléau de la sécurité informatique. Vraie pratique largement identifiée depuis 2018, le rançongiciel a encore nettement proliféré en 2020, avec une hausse des signalements d'attaque de 255 % par rapport à 2019. Ce qui inquiète l'agence, toujours très active sur le sujet, c'est la « diversification, voire une sophistication, des vecteurs d'infection utilisés ».

Le ransomware et ses multiples façons de le « diffuser »

Nous abordons assez régulièrement la thématique du ransomware sur Clubic, et certains noms, comme Ryuk, RagnarLocker, Clop ou DoppelPaymer doivent êtes familiers à vos yeux. Mais nous avons rarement l'occasion d'aborder la classification de ces rançongiciels. L'ANSSI nous indique ainsi avoir identifié trois tendances en 2020.

La première est celle qui consiste, pour un groupe de cybercriminels, à cibler des entreprises et institutions bien particulières via des ransomwares. On appelle cette pratique le Big Game Hunting (BGH). Souvent, les opérations de BGH sont précédées d'actions en amont, plusieurs mois à l'avance. RagnarLocker, DarkSide, RansomEXX et Netwalker sont les malveillants qui caractérisent le mieux cette pratique.

Une autre pratique consiste à utiliser des rançongiciels que l'on récupère sur le dark web moyennant finance, par un système d'affiliation. Cette pratique du ransomware-as-a-service (RaaS) est de plus en plus répandue. Elle représente même la majorité des attaques signalées à l'ANSSI. Le célèbre Clop (diffusé par le groupe TA505), WastedLocker, Maze, DoppelPaymer, Sodinokibi sont parmi les plus connus. Le RaaS prend la forme d'un abonnement ou d'un partenariat à un ransomware, duquel découle naturellement une suite de services comme un support technique, une interface de gestion d'implants ou une interface d'échange avec les victimes. Véritable marché du ransomware, le RaaS est vu comme la forme « prête à l'emploi » du genre.

Enfin, l'agence a identifié une troisième tendance forte sur le rançongiciel en 2020, qui consiste en une double extorsion. Plus ancienne (potentiellement introduite par Maze en novembre 2019), elle permet aux hackers de faire pression sur la victime en captant ses données, puis en la menaçant de tout publier sur un site internet en .onion la plupart du temps, le tout pour la convaincre de payer la rançon en moins de 72 heures, avant de tout publier. « Il est ainsi de plus en plus fréquent qu'un chiffrement soit précédé d'une exfiltration de données », note l'ANSSI.

Une menace de plus en plus inquiétante

L'ANSSI rappelle que bien que la majorité des rançongiciels respecte une chaîne d'infection similaire, il est à noter une diversification et une sophistication des vecteurs d'infection sollicités. « L'industrialisation permet aux opérateurs de rançongiciel de sous-traiter une grande partie des ressources et outils nécessaires à la réalisation de leurs opérations ». Un procédé qui se matérialisation, parfois même, par une collaboration entre opérateurs de divers ransomwares, ce qui les rend d'autant plus redoutables.

En ce qui concerne les vecteurs d'infection, les hackers ne se limitent plus aux simples courriers électroniques de phishing ou accès RDP. Aujourd'hui, ils explorent les vulnérabilités (serveurs, VPN, logiciels de surveillance à distance, etc.) et initient des compromissions par point d'eau, qui après un clic sur une URL amenant vers un site web pirate, peut amener à la distribution du logiciel malveillant ou d'un kit d'exploitation.

point d'eau WastedLocker © ANSSI

Aujourd'hui, face à des hackers parfaitement organisés et même groupés, aucun secteur n'est épargné. Et aucune région du monde non plus. Toutefois, l'ANSSI a noté une tendance à la hausse des attaques par ransomware dans les secteurs de l'éducation, de la santé (nous en avons parlé plusieurs fois sur Clubic), des entreprises de services numériques et du côté des collectivités locales.

Des dégâts considérables à chaque attaque

À chaque attaque par rançongiciel transformée, les dégâts sont conséquents. Il y a d'abord la perte de données, doublement problématique si l'entreprise ou institution n'a pas procédé à une sauvegarde, mais aussi les pertes financières, les pertes d'exploitation, l'atteinte à l'image et, comme couronnement funeste, la perte de clients.

Et même certaines entités qui paient la rançon, pensant que cela résoudrait tous les problèmes, paient les pots cassés. « La rentabilité des attaques par rançongiciel, bien supérieure à leur coût de mise en œuvre, explique la prolifération des groupes d’attaquants et laisse présager une constance, si ce n’est une hausse, de la menace liée aux rançongiciels dans les années à venir », s'inquiète l'ANSSI, qui n'est pas près d'en avoir fini avec les ransomwares.

Source : ANSSI

Alexandre Boero

Journaliste chargé de l'actualité – Reporter – Vidéaste

Journaliste chargé de l'actualité – Reporter – Vidéaste

Journaliste, chargé de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, éc...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (1)

Demongornot
Importance des données personnelles, vie privée, toussa toussa, bref…<br /> Je ne devrais plus avoir à le dire, hélas certains ne comprendront jamais l’importance de cela même se retrouvant eux même victime des problèmes qui en découlent.
Voir tous les messages sur le forum
Haut de page

Sur le même sujet