
Retour sur investissement des ransomwares, du point de vue des criminels
« Allons-nous payer ? »
C'est bien souvent le premier point d'interrogation qui se pose lorsque vient le temps d'aborder la question des attaques par ransomware (de préférence, avant d'en être vous-même victime). Pour répondre à cette question, les entreprises vont évaluer les coûts d'un programme de défense contre les ransomwares, mais aussi les risques qu'elles sont prêtes à prendre et la pertinence d'un refus de payer face aux dommages occasionnés par l'arrêt de leurs activités ou une récupération ratée.
Mais chefs d'entreprise et professionnels de la sécurité ne sont certainement pas les seuls à se pencher sur la question. Les pirates aussi pèsent le pour et le contre, et examinent les chiffres afin de déterminer le montant parfait, celui qui leur assurera un bon retour sur investissement tout en restant acceptable aux yeux de l'entreprise attaquée. Ce précepte n'est toutefois pas appliqué par tous les hackers. Certaines attaques sont perpétrées par des États dont les intérêts dépassent largement le paiement d'une rançon, quand d'autres criminels se contentent d'avoir recours à des kits pour initier un large volume d'attaques à bas coût. Mais les opérations organisées de ransomware ont des objectifs différents ; elles comprennent leurs coûts et investissent dans les technologies pour développer leur « activité ». À l'instar de toute entreprise légitime, elles gardent un œil attentif sur leur résultat.
Quand le ransomware est une activité
Voici quelques investissements majeurs que les criminels de ransomware font dans leurs opérations :
Infrastructure : même les opérations professionnelles criminelles ont des coûts d'infrastructure physiques, logiciels et humains à prendre en compte. Certaines entreprises embauchent des traducteurs et la plupart d'entre elles mettent leurs victimes en relation avec un support technique disponible 24 h/24 et 7 j /7 pour les aider à verser leur rançon. D'autres encore disposent de leur propre équipe de développeurs prête à créer de nouvelles souches de ransomware pour faire tomber les défenses des entreprises attaquées. Tout cela a un certain coût, mais les pirates font souvent appel à d'autres réseaux pour la distribution ou le codage. S'il est difficile d'estimer avec précision le montant dont il est question, le rapport 2018 sur l’écosystème du marché noir nous donne quelques indications sur les frais mensuels associés à chaque campagne :
- Estimation moyenne des coûts opérationnels : 1044 $
- Estimation la plus élevée des coûts opérationnels : 2625 $
- Estimation la plus faible des coûts opérationnels : 391 $
- Composants : charge de ransomware + outil de téléchargement + outil de chiffrement + hébergement fast-flux + méthode de distribution (spam/redirection/service de « charge » de malwares/force brute)
Recherche et développement. Pour être rentable, l'attaque doit être suffisamment agressive pour réduire à néant les chances d'une récupération rapide pour l'entreprise ciblée. Les pirates sont donc contraints d'améliorer sans cesse leurs méthodes et logiciels s'ils souhaitent garder l'avantage sur les systèmes de défense contre les ransomwares. Quelques exemples :
Amélioration du code en continu : code polymorphe, chiffrement amélioré, attaques aléatoires. Les attaques par ransomware ne présenteraient pas aujourd'hui le même degré de dangerosité si le développement n'avait pas connu de telles avancées. Le code polymorphe permet de modifier légèrement la signature du ransomware à chaque nouvelle infection, le rendant ainsi bien plus difficile à identifier. Quant à l'amélioration du chiffrement, elle complique la tâche des chercheurs qui s'évertuent à développer des clés de déchiffrement pour le grand public. Enfin, parmi les efforts de développement menés en continu par les pirates, citons les exploit kits et autres types de malwares.
Services d'abonnement : nécessitant un autre type d'infrastructure et d'assistance, ces services organisés permettent à d'autres hackers de lancer leurs propres opérations, à plus petite échelle, en s'appuyant sur une offre Ransomware-as-a-Service (RaaS). Fidèles au modèle « as-a-Service », ils offrent aux nouveaux acteurs un accès à des systèmes plus puissants et des logiciels plus récents tout en amplifiant l'impact de l'attaque. La plupart des fournisseurs s'octroient un pourcentage de 10 à 40 % du montant de la rançon et, comme pour beaucoup de programmes de partenariat légitimes, les participants sont récompensés sur la base de leurs performances.
Recherches en manipulation psychologique. Bien que les criminels continuent d'utiliser des tactiques d’hameçonnage trompeur à grande échelle, sans ciblage précis, les logiciels rançonneurs sont fréquemment envoyés par le biais d'e-mails d’hameçonnage ciblé. Les attaques de ce type s’appuient sur des recherches en manipulation psychologique, préparations qui permettent aux criminels d'identifier des cibles d’intérêt avant d’échafauder un plan d’attaque. Le temps et les efforts consacrés à ces recherches peuvent être plus ou moins considérables, mais une bonne recherche peut rapporter gros.
Ne plus se contenter des PC. Pendant longtemps, les développeurs de ransomwares se sont attaqués aux systèmes Windows sans correctifs, mais ils ne s'arrêtent plus là. Face à la popularité grandissante d'autres appareils et plateformes, de nouveaux types d'attaques ont vu le jour. MacRansom RaaS a ainsi été le premier ransomware largement identifié à cibler les Mac et le Verizon Mobile Security Index 2019 signale qu'au moins une forme de ransomware cible aujourd'hui les appareils iOS. Sur Android, l'identification des premiers ransomwares remonte à 2014, un phénomène exacerbé par la façon dont Android gère les applications tierces. La menace des ransomwares pèse aussi de plus en plus sur l'IoT. Les hackers se creusent désormais la tête pour trouver comment verrouiller les systèmes de contrôle industriels et autres appareils en réseau essentiels à l'activité des entreprises.
Image de marque. Bien sûr, il n'est pas ici question de programmes de grande ampleur, mais ces organisations se soucient bel et bien de leur réputation. Il est ainsi important pour elles que leurs victimes, mais aussi le secteur de la cybersécurité, sachent qu'elles tiendront parole. C'est pourquoi elles ne tardent généralement pas à transmettre la clé de déchiffrement une fois la rançon payée et ne réitèrent pas leur attaque. Selon Mark Rasch, avocat spécialisé dans la cybersécurité, « ils veulent être reconnus comme des voleurs dignes de confiance ». Cet objectif passe par la mise en place de systèmes qui associent paiements et ordinateurs afin que le pirate puisse connaître avec certitude l'identité de la personne qui a versé la rançon.

Retour sur investissement (ROI)
Les cybercriminels les plus organisés ont une connaissance suffisante du secteur et des risques associés pour savoir combien cette activité doit leur rapporter. Ce savoir leur permet de négocier ou d'abandonner des transactions voire d'adapter le montant de la rançon à la victime.
À moins de faire partie de ce monde, difficile de savoir avec exactitude combien gagnent ces organisations, mais les données suivantes nous en donnent un aperçu :
- La rançon moyenne payée au premier trimestre 2019 était de 12 762 $, contre 6 733 $ au dernier trimestre 2018
- Le programme d'affiliation GandCrab, désormais inactif (ou plutôt transformé), a rapporté plus de 2,8 millions de dollars en février 2019
- En 2017, les auteurs de ransomwares gagnaient plus du double du salaire moyen d'un développeur travaillant sur des projets légitimes
- Le coût mondial des attaques par ransomware devrait s'élever à 11,5 milliards de dollars en 2019 et à 20 milliards de dollars en 2021.
- Les ransomwares, objets de toutes les convoitises sur les forums clandestins
Peu de doute quant à l'avenir des ransomwares : ils ne disparaîtront pas de sitôt. Au contraire, l'ampleur de ces attaques devrait même être renforcée par l'utilisation de l'intelligence artificielle pour le déploiement d'attaques basées sur le deepfake.
Face à cette menace, plusieurs technologies sont disponibles pour aider votre entreprise à se protéger, notamment des systèmes conçus pour apprendre à votre équipe à reconnaître et lutter contre ces attaques. Consultez notre page dédiée à la lutte contre les ransomwares pour découvrir comment Barracuda peut vous aider à protéger votre entreprise et votre réputation.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter