C’est une autre pandémie qui ravage le monde. En hausse depuis 2018, les ransomwares visant des organisations publiques ou privées fusent de toutes parts. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) constate ainsi une augmentation de 255% des signalements d’attaque par rançongiciel dans son périmètre sur un an. On est ainsi passé de 54 incidents rapportés en 2019 à 192 incidents signalés en 2020. « Les rançongiciels représentent actuellement la menace informatique la plus sérieuse pour les entreprises et institutions, par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité », note l’agence dans son rapport.
L’année 2020 s’est illustrée par trois tendances : le Big Game Hunting (ciblage d’entreprises et institutions particulières dans leurs attaques), la double extorsion (exfiltration, puis chiffrement des données pour obtenir une rançon) et le ransomware-as-a-service (RaaS).
L’ANSSI et ses partenaires constatent que de plus en plus de groupes cybercriminels possédant des ressources financières et des compétences techniques importantes favorisent le ciblage d’entreprises et d’institutions particulières dans leurs attaques. Ce ciblage se caractérise notamment par une préparation des opérations d’extorsion en amont, parfois plusieurs mois à l’avance. Les représentants les plus emblématiques de cette tendance sont RagnarLocker et DarkSide (chaque échantillon est adapté à l’organisation ciblée), RansomEXX (l’échantillon, l’extension de fichiers et l’adresse courriel de contact utilisent le nom de la victime) et Netwalker (le montant de la rançon varie en fonction du revenu de l’entreprise).
Si aucun secteur d’activité et aucune zone géographique ne sont épargnés, l’ANSSI note une multiplication des attaques contre les collectivités locales, le secteur de l’éducation, le secteur de la santé (une tendance qui s’est accrue en 2020, notamment dans le contexte de pandémie liée au Covid-19) et les entreprises de services numériques. « Les attaques à l’encontre d’ESN illustrent le danger d’un impact systémique des rançongiciels qui, en ciblant des entreprises sous-traitantes ou clés d’un secteur d’activité, pourraient être amenées un jour à déstabiliser plusieurs grands groupes (supply chain attack), un pan d’activité économique entier (rupture dans l’approvisionnement de matière première par exemple) ou encore une zone géographique spécifique », avertit l’agence.
Les vecteurs d’infection des attaques par rançongiciel se sont également diversifiés. Aux courriels d’hameçonnage ou à l’exploitation d’accès RDP mal sécurisés traditionnels, se sont ajoutés les attaques par points d’eau, l’exploitation de vulnérabilités ou encore des attaques par chaîne d’approvisionnement. De plus, les systèmes d’exploitation Windows ne sont plus les seuls à être ciblés. Quelques rançongiciels, comme par exemple RansomEXX s’attaquent également aux systèmes d’exploitation Linux
Selon l’ANSSI, le phénomène rançongiciel continuera à croître au cours des prochaines années. Cette croissance est notamment liée à l’augmentation du nombre d’attaquants, facilitée par le modèle du RaaS ainsi que par un écosystème cybercriminel fournissant un support à tout moment de la chaîne d’infection. « Les attaques par rançongiciel ne peuvent donc plus être reléguées au rang de simples attaques à visée lucrative, étant donné que leur sophistication, leur intérêt pour les données de la victime ainsi que la perte de continuité d’activité qu’elles engendrent, les rapprochent d’attaques à visée d’espionnage ou de sabotage mises en œuvre par des attaquants de niveau étatique », constate l’ANSSI. Un constat amer s’il en est.