Le chantage à l'œuvre
À l'échelle mondiale, les attaques de ransomware ont augmenté de 102 % cette année par rapport au début de l'année 2020 - et il n'y a aucun signe de ralentissement. Le nombre d'organisations touchées par les ransomwares dans le monde a plus que doublé au premier semestre 2021 par rapport à 2020.
L'émotion a été grande sur la côte est des États-Unis à la mi-mai, lorsque le réseau de Colonial Pipeline a été touché par une attaque de ransomware. L'entreprise a dû déconnecter certains systèmes après la cyberattaque, ce qui a complètement paralysé l'exploitation du pipeline, provoquant des pénuries d'essence dans certaines régions du pays.
Le FBI a confirmé dans une déclaration qu'un groupe cybercriminel professionnel appelé Darkside était responsable de l'attaque au ransomware contre Colonial Pipeline. D'autres attaques de grande envergure, ici par exemple contre Swiss Cloud Computing ou Griesser, au niveau mondial par exemple contre la ville de Tulsa, et le ransomware REvil qui a tenté d'extorquer de l'argent à Apple, montrent clairement que les attaques de ransomware constituent un problème majeur dans le monde entier. On estime que l'année dernière, les ransomwares ont coûté environ 20 milliards de dollars aux entreprises du monde entier, un chiffre supérieur de près de 75 % à celui de 2019.
Le secteur de la santé en ligne de mire
Nos chercheurs de CPR (Check Point Research) ont constaté qu'en moyenne, plus de 1000 organisations sont touchées par des ransomwares chaque semaine. Le nombre d'entreprises touchées a considérablement augmenté en 2021 - de 21 % au premier trimestre de l'année et de 7 % depuis avril. Ces hausses ont entraîné une augmentation vertigineuse du nombre d'organisations touchées par les ransomwares de 102 % au total par rapport au début de l'année 2020. Le secteur qui subit le plus grand nombre de tentatives d'attaques de ransomware dans le monde est celui de la santé, avec une moyenne de 109 tentatives d'attaques par entreprise et par semaine, suivi par le secteur des services publics avec 59 attaques et le secteur de l'assurance/du droit avec 34 attaques.
Différences régionales
Il est intéressant de noter que des différences régionales sont également observées : Les organisations de la région Asie-Pacifique (APAC) sont actuellement les plus touchées par les attaques de ransomware. En moyenne, les organisations de la région APAC sont attaquées 51 fois par semaine. En moyenne, une organisation nord-américaine subit 29 attaques hebdomadaires, les entreprises européennes et latino-américaines 14 et les entreprises africaines ont chacune quatre attaques hebdomadaires par organisation. L'Inde a enregistré le plus grand nombre de tentatives d'attaques par organisation, avec une moyenne de 213 attaques hebdomadaires depuis le début de l'année. Suivent l'Argentine avec 104 par organisation, le Chili avec 103, la France avec 61 et Taiwan avec 50.
Alors qu'en Amérique du Nord, les organisations du secteur de la santé ont subi le plus d'attaques depuis le début de l'année, en Europe, ce sont les organisations du secteur des services publics qui ont été les plus touchées. En APAC, c'est le secteur des assurances et du droit qui est le plus touché, tandis qu'en Amérique latine, c'est le secteur des communications. En Afrique, c'est le secteur financier et bancaire qui est le plus attaqué.
Triple rançongiciel d'extorsion
Le succès de la double extorsion (les criminels ne se contentent pas de crypter les données, ils les publient également) en 2020, surtout depuis le déclenchement de la pandémie Covid-19, est indéniable. Bien que tous les incidents - et leurs résultats - ne soient pas divulgués et publiés, les statistiques collectées au cours de la période 2020-2021 reflètent l'importance de ce vecteur d'attaque : le montant moyen des rançons a augmenté de 171 % l'année dernière et s'élève désormais à environ 310 000 dollars. Plus de 1000 entreprises ont subi des pertes de données après avoir refusé de répondre aux demandes de rançon en 2020, et environ 40 % de toutes les familles de ransomware nouvellement découvertes ont inclus l'infiltration de données dans leur processus d'attaque. Les attaques qui ont eu lieu fin 2020 et début 2021 indiquent une nouvelle chaîne d'attaque - essentiellement une extension de la technique du ransomware à double extorsion qui intègre une menace supplémentaire dans le processus - que nous appelons triple extorsion.
Le premier cas notable a été l'attaque de la clinique finlandaise de psychothérapie Vastaamo, qui compte environ 40 000 patients. Elle a été touchée par un vol à grande échelle de données de patients et par une attaque de ransomware. Une rançon n'a pas été demandée uniquement à la clinique, mais de manière surprenante, des sommes plus modestes ont également été réclamées aux patients qui avaient reçu individuellement les demandes de rançon par e-mail. Dans ces courriels, les agresseurs menaçaient de publier les notes de séance de leurs thérapeutes. Même s'ils surfent sur la vague du succès, les cybercriminels sont constamment à la recherche de modèles commerciaux plus innovants et plus fructueux. C'est pourquoi il est d'autant plus important d'être conscient du danger et de se protéger.
Comment s'armer contre les attaques de ransomware
1. une vigilance accrue pendant les week-ends et les jours fériés : la plupart des attaques de ransomware de l'année dernière ont eu lieu pendant les week-ends et les jours fériés.
2) Correctifs à jour : il FAUT maintenir les ordinateurs à jour et installer les correctifs de sécurité, en particulier ceux qui sont considérés comme critiques.
3. les solutions anti-ransomware : Elles surveillent les programmes pour détecter les comportements suspects souvent utilisés par les ransomwares.
de l'ordinateur. Si de tels comportements sont détectés, le programme peut prendre des mesures pour arrêter le cryptage avant que d'autres dommages ne puissent être causés.
4. éduquer : Il est essentiel de former les utilisateurs à la détection et à la prévention des attaques potentielles de ransomware. De nombreuses cyberattaques commencent par un courriel ciblé qui ne contient même pas de malware, mais un message fictif qui incite l'utilisateur à cliquer sur un lien malveillant. La formation des utilisateurs est souvent considérée comme l'une des mesures de défense les plus importantes qu'une entreprise puisse mettre en place.
5. les attaques de ransomware ne commencent pas par des ransomwares : les professionnels de la sécurité doivent être attentifs aux infections par Trickbot, Emotet, Dridex et CobaltStrik sur leurs réseaux et les supprimer à l'aide de solutions de détection des menaces - car elles ouvrent la porte aux infections par ransomware.
Source : Check Point Software