De nombreux rapports d’entreprises spécialisées en sécurité ont fait état du fait que les pirates se tournent de plus en plus vers les ransomwares qui se voient perfectionnés version après version. Dans son rapport sur l’évolution des menaces numériques au premier trimestre 2016, Kaspersky a indiqué que les ransomwares ont désormais détrôné les APT (Advanced Persitent Threat) dans le classement des menaces numériques les plus problématiques.Les victimes de ces logiciels malveillants sont issues de divers secteurs : des milieux hospitaliers aux banques en passant par les systèmes de traitement de l’eau. Une étude de BitDefender, intitulée « 2016 Executive Application & Network Security », a même estimé qu’en 2015, les ransomwares ont causé plus de 350 millions de dollars de dommages, confirmant ainsi leur statut de menace la plus prolifique de ces dernières années.
Les pirates veulent obliger les entreprises ainsi que les particuliers à payer la rançon pour rentrer en possession de leurs données. Il va sans dire que plus les données sont critiques et plus le paiement de la rançon n’est plus envisagé comme une option mais plutôt comme une solution. C’est en tout cas ce qui semble motiver de nombreuses entreprises puisque des rapports indiquent que la majorité de celles qui ont été victimes d’un ransomware finissent par payer malgré les recommandations d’experts en sécurité comme Kaspersky qui conseillent de ne pas payer.
L’éditeur d’antivirus avançait d’ailleurs que « chaque bitcoin transféré au profit de criminels renforce leur confiance dans la rentabilité de ce type de cyberracket et aboutit à la création de nouveaux ransomwares. Dans le même temps, de nombreux acteurs du secteur de la sécurité, parmi lesquels Kaspersky Lab, combattent ce fléau au quotidien. Parfois, il est possible de créer un outil de décryptage pour certains types de ransomwares voire, grâce à la coopération avec les forces de police, d’obtenir les clés de cryptage pour certaines familles de ransomwares, ce qui peut finalement permettre de décrypter vos fichiers ».
Trend Micro s’est par exemple intéressé à l’Angleterre. Bien que trois entreprises sur quatre déclarent qu’elles ne vont pas payer la rançon si elles venaient à être infectées par un ransomware, il semblerait qu’elles changent très vite de disque une fois qu’elles sont confrontées à la situation. En effet, l’éditeur indique que près de deux entreprises sur trois (65 %) finissent par payer la rançon pour récupérer des fichiers. Son enquête indique que certaines d’entre elles ont découvert qu’il n’est pas sain de se fier à la promesse de criminels : une entreprise sur cinq a payé la rançon mais n’a pas eu l’accès à ses données.
L’entreprise ne s’est cependant pas attardée sur les raisons ou motivations derrière cette situation : est-ce-que le fait que certaines entreprises, malgré le paiement de la rançon, n’entrent pas en possession de leurs données découle de la volonté des pirates ou tout simplement d’un accident ? Il faut rappeler l’épisode du ransomware mal programmé qui a été analysé par l’équipe interne de BleepingComputer, laquelle s’est chargée d’exposer l’erreur commise par le programmeur dans son code. L’objectif était de permettre à ce développeur de corriger la faille dans son code de sorte que ses prochaines victimes aient au moins la possibilité de récupérer leurs données. Il faut aussi rappeler celui de Ranscam, un ransomware qui efface les données des victimes, même en cas de paiement de rançon : au lieu de chiffrer les fichiers, Ranscam les détruit tout simplement. Il détruit aussi des fichiers clés de Windows qui permettent d’effectuer une restauration du système. Les clés du registre de Windows qui permettent d’entrer dans le Safe Mode ou le Gestionnaire des tâches sont effacées.
Quand Trend Micro a demandé aux entreprises ce qui les motivait à payer la rançon, 37 % d’entre elles ont déclaré avoir peur d’être condamnées à payer une amende si ces données venaient à être définitivement perdues, 32 % ont expliqué que des données critiques faisaient partie des données chiffrées et 29 % ont indiqué que la rançon exigée était relativement faible. Trend Micro précise que la somme moyenne demandée aux entreprises tournait autour de 540 livres sterling, bien que 20 % des entreprises qui ont été attaquées ont fait mention d’une rançon supérieure à 1000 livres sterling.
De l’autre côté, 60 % des entreprises qui se sont refusées à céder au chantage ont déclaré qu’elles ne négociaient pas avec des criminels. De plus, 60 % des entreprises qui n’ont pas payé ont été en mesure de récupérer leurs données grâce à des récupérations de sauvegardes et 26 % ont déclaré que les fichiers chiffrés n’avaient pas ou peu de valeur et ne méritaient donc pas qu’on paie pour les récupérer.
81 % des entreprises qui ont été infectées ont contacté les forces de l’ordre qui ont été en mesure de les assister sur plus de la moitié des cas (51 %). « Les ransomwares ont complètement dominé le paysage actuel des menaces » , a ajouté Bharat Mistry, consultant en cybersécurité chez Trend Micro. « Au cours de la première partie de 2016, nous avons bloqué et détecté près de 80 millions de menaces ransomware et identifié 79 nouvelles familles de ransomwares - comparé à 29 sur l'ensemble de 2015, soit une augmentation de 179 %. Un bon nombre de ces ransomwares ont été conçus avec des routines implémentées pour attaquer les machines et les endpoints des entreprises. Il est temps que les entreprises prennent garde », a-t-il continué.
Source : Trend Micro, rapport sur l'évolution des menaces en 2015 de Kaspersky (au format PDF), conseils de Kaspersky pour prévenir les attaques des ransomwares
Voir aussi :
Un ransomware mal programmé devient incapable de déchiffrer les données des victimes après le paiement de la rançon Les ransomware continuent d'évoluer : Cerber se dote d'une fonctionnalité pour créer des versions différentes de lui-même toutes les 15 secondes Ranscam : un ransomware qui efface les données des victimes même en cas de paiement de la rançon 
