Après une année de hausse fulgurante, le nombre d’attaques par ransomware s’est effondré au cours du premier trimestre de 2024. Les experts de CyberInt ont enregistré une chute de 22 % des tentatives d’extorsion en quelques mois.
Cette diminution des cyberattaques est principalement le résultat des efforts déployés par les forces de l’ordre. Les polices ont récemment orchestré plusieurs opérations d’envergure à l’encontre des gangs de cybercriminels spécialisés dans l’extorsion. On pense surtout à l’opération Cronos, qui a mis à genoux une partie de l’infrastructure de Lockbit. Le gang, responsable d’une grande portion des cyberattaques par rançon logiciel dans le monde, s’est retrouvé hors d’état de nuire pendant un temps.
À lire aussi : Un ransomware empêche une ville britannique d’éteindre ses lampadaires
Des dégâts de plus en plus considérables
Le dernier rapport de Sophos confirme la baisse des attaques par ransomware lors du premier trimestre de l’année. Comme l’explique John Shier, responsable chez Sophos, leurs chercheurs ont également remarqué une « légère diminution de la fréquence globale d’attaques par ransomware ». Tout porte à croire que les pirates ont bien ralenti la cadence au cours des trois premiers mois de 2024, échaudés par les assauts répétés des autorités.
Par contre, Sophos a constaté une hausse des dégâts générés par les logiciels d’extorsion. Si « le taux d’attaque global a baissé au cours des deux dernières années », la société britannique a remarqué que l’impact « d’une attaque sur ceux qui en sont victimes a augmenté ».
L’essor de la double extorsion
Désormais, les cybercriminels « ne se contentent plus de chiffrer les données, ils s’efforcent également de les dérober », poursuit John Shier. Dans le cas d’une attaque classique, un ransomware va chiffrer toutes les données d’une entreprise. Pour récupérer la clé de chiffrement, et l’accès aux informations, la victime va devoir verser une rançon en cryptomonnaies. L’opération s’arrête donc ici. De plus en plus souvent, les pirates vont encore plus loin en s’emparant des données trouvées lors de l’offensive.
Cette pratique s’appelle la double extorsion. En plus de chiffrer les données, les pirate volent les informations des entreprises et menacent de les publier sur Internet, généralement sur des marchés noirs dédiés aux cybercriminels. Dans 32 % des attaques étudiées par Sophos en début 2024, les hackers ont pris le temps d’exfiltrer les données avant de les chiffrer.
Cette approche « offre aux attaquants davantage de possibilités d’extorquer de l’argent à leurs victimes, tout en leur permettant de tirer profit de l’attaque par la suite en vendant les données dérobées directement sur le dark Web », explique John Shier. Après avoir récolté la rançon, les cybercriminels vont monnayer les données dérobées, ce qui aggrave considérablement les dégâts de la cyberattaque. En effet, les informations subtilisées peuvent être exploitées par d’autres attaquants, même si la rançon a été réglée. C’est pourquoi de nombreuses firmes victimes d’un ransomware enregistrent une seconde attaque à la suite de l’incident initial. C’est aussi pourquoi il ne faut jamais céder au chantage et verser la rançon réclamée par les pirates.
Un coût de reprise qui explose
Face à ces opérations sophistiquées, les entreprises ont de plus en plus de mal à se remettre d’une attaque par ransomware. Interrogées par Sophos, les victimes indiquent que le « coût moyen de reprise d’activité » a considérablement augmenté. Il faut désormais débourser une moyenne de 2,73 millions de dollars pour se rétablir à la suite d’une tentative d’extorsion. C’est « une hausse de près d’un million de dollars par rapport à 2023 », souligne le rapport.
Par ailleurs, les entreprises ont besoin de plus en plus de temps pour relancer leurs activités à la suite d’une extorsion. Près de 35 % des entreprises touchées en 2024 assurent en effet avoir pris plus de 30 jours pour se remettre de l’intrusion des cybercriminels. L’année précédente, seulement 23 % des firmes avaient besoin de plus d’un mois pour restaurer leurs services au terme d’une attaque.
« Se remettre d’une attaque par ransomware prend de plus en plus de temps. Cet allongement de la durée de reprise d’activité pourrait découler du fait que les attaques sont de plus en plus sérieuses et de plus en plus complexes, de la normalisation des ransomwares en tant que méthode d’attaque préférentielle contre les entreprises et du manque de préparation à la reprise d’activité des organisations elles-mêmes », détaille John Shier dans le rapport de Sophos.
Le secteur de la santé dans le viseur des pirates
Selon Sophos, les pirates privilégient de plus en plus les attaques sophistiquées, susceptibles de causer de sérieux dégâts contre les infrastructures informatiques. Un constat confirmé par une enquête réalisée par Dragos, une société spécialisée dans la sécurité informatique. Dans un rapport publié fin avril 2024, la société explique que le monde du ransomware est actuellement marqué par des attaques dont « les conséquences vont au-delà de la perte de données et de l’impact financier ». De plus en plus d’offensives visent en effet « directement l’intégrité opérationnelle de base des organisations ciblées ». De facto, les entreprises se retrouvent totalement incapables de fonctionner normalement pendant un temps.
Par ailleurs, de plus en plus de victimes d’un ransomware refusent fermement de payer la rançon exigée. Une étude de Coveware révèle en effet que moins de 30 % des entreprises affectées acceptent d’obéir aux hackers. En 2019, 85 % des victimes cédaient encore au chantage. Le monde de l’entreprise prend conscience qu’il est inutile de plier aux exigences des criminels. Face à des victimes de plus en plus récalcitrantes, les pirates ont opéré un virage dans leur stratégie.
Les principaux gangs criminels ont en effet décidé de se tourner vers des cibles autrefois intouchables, comme les hôpitaux. Comme l’explique Emsisoft, les pirates ont progressivement musclé leurs tactiques d’extorsion en visant les infrastructures médicales, au risque de violer la vie privée de patients atteints de maladies graves. En miroir d’Emsisoft, Dragos indique avoir constaté « un changement d’orientation des groupes de ransomware vers le secteur de la santé depuis le début de 2024 ». Au lieu de perdre leur temps avec des industries, qui risquent de refuser de payer la rançon, les cybercriminels s’attaquent plutôt à des prestataires de soins de santé. Ces entités sont assises sur une montagne de données particulièrement sensibles, comme des dossiers médicaux. Pour protéger la confidentialité des patients, elles sont souvent prêtes à obéir aux pirates.
C’est pourquoi les cyberattaques, bien que moins nombreuses, font considérablement plus de dégâts. En cas d’attaque, ces informations médicales sont susceptibles de se retrouver sur des marchés noirs, à la portée de n’importe quel cybercriminel. Exploitées par un hacker aguerri, ces informations peuvent donner naissance à d’autres opérations d’extorsion, à des attaques phishing ou à des tentatives d’usurpation d’identité.
L’exemple d’UnitedHealth Group
La cyberattaque contre UnitedHealth Group, une importante compagnie d’assurances spécialisée dans la santé aux États-Unis, illustre à merveille cette augmentation des dégâts causés par les pirates spécialisés dans l’extorsion. En mars, Change Healthcare, une division du groupe UnitedHealth et maillon important du système de santé américain, s’est retrouvé dans le viseur des pirates russes de BlackCat. Les cybercriminels ont chiffré les données et exigé une rançon de 22 millions de dollars en cryptomonnaies.
Pour protéger la vie privée des Américains, Change Healthcare a payé la rançon. Malheureusement, les pirates avaient dérobé les données avant de les chiffrer. En dépit de la rançon, BlackCat a divulgué la base de données volées sur des marchés noirs. Plusieurs indices montrent en effet qu’au moins deux gangs disposent d’une partie des données médicales subtilisées à Change Healthcare.
Suite à cette attaque d’envergure, les services de Change Healthcare se sont retrouvés inopérants pendant plusieurs semaines. Les fournisseurs de soins de santé partenaires du groupe ont été privés de leurs logiciels de prescription électronique habituels. L’attaque a généré un retard conséquent, obligeant Change Healthcare à déployer dans l’urgence un logiciel de préparation des demandes médicales. Il aura fallu trois semaines pour que tout rentre dans l’ordre.
L’affaire Change Healthcare illustre bien les caractéristiques des nouvelles attaques par ransomware. Basées sur la double extorsion, elles provoquent de sérieux dégâts à l’infrastructure informatique des entreprises, paralysant durablement les systèmes, tout en s’accompagnant d’une fuite de données sensibles.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
