Dans son rapport annuel Internet Organised Crime Threat Assessment (IOCTA), Europol souligne que la crise du Covid-19 a été une aubaine pour la cybercriminalité sous toutes ses formes. Les ransomwares ne font pas exception.

Depuis le début de la pandémie et notamment avec le recours au télétravail, certaines politiques de sécurité ont connu des trous dans la raquette. Le nombre de vulnérabilités et les surfaces d'attaque ont ainsi augmenté, représentant de fait un risque pour les entreprises et leurs clients. Cela peut toucher les connexions RDP (Remote Desktop Protocol) et des VPN.

Le rapport indique que les attaques par ransomware sont devenues plus sophistiquées et à la recherche de cibles de premier choix pour une sorte de retour sur investissement. Elles impliquent de passer davantage de temps à l'intérieur d'un réseau pour compromettre une infrastructure et mettre la main sur toujours plus de données.

La diffusion massive de ransomwares, avec dans l'idée que des campagnes connaîtront le succès, n'a plus la cote. Les cybercriminels s'attaquent à des cibles restreintes les plus susceptibles de payer une rançon élevée afin de reprendre leurs activités aussi rapidement que possible, comme par exemple les entreprises privées, les secteurs de la santé et de l'éducation, les infrastructures critiques et les institutions gouvernementales.

ransomware

Du ciblage et du chantage à plusieurs niveaux

Pour autant, une contrepartie est que certains programmes d'affiliation de ransomware - qui utilisent notamment des attaques sur la chaîne d'approvisionnement pour compromettre les réseaux - ont estimé que des attaques d'affiliés avaient trop attiré l'attention des forces de l'ordre compte tenu des cibles choisies.

Des groupes de ransomware comme Conti, Maze, Avaddon et Babuk sont cités, alors que le ransomware Ryuk est plus connu pour des attaques contre des systèmes de santé. Des tactiques de double extorsion révèlent une certaine efficacité avec la menace de rendre publiques des données exfiltrées si une rançon n'est pas payée. Des attaques par ransomware peuvent aussi s'accompagner d'autres menaces comme des attaques DDoS en cas de refus de paiement d'une rançon pour une clé de déchiffrement.

Ce constat invite évidemment à la prudence et à la mise en place de solutions de protection, notamment pour la messagerie pouvant faire office de porte d'entrée. Produit français, Altospam est par exemple un filtre antispam, antivirus et antiransomware externalisé pour la messagerie d'entreprise, mais il en existe bien d'autres pour l'entreprise ou le particulier, des gratuits ou des payants.

Malgré des succès enregistrés dans la lutte contre la cybercriminalité, Europol considère que les attaques par ransomware vont continuer d'évoluer et de prendre de l'ampleur, comme dans le cadre d'une collaboration entre divers groupes. Un récent cas est celui du ransomware Ryuk qui était auparavant distribué par le botnet Emotet - qui a connu une opération de démantèlement - et qui a été déployé après une infection par TrickBot.