Retour sur investissement des ransomwares, du point de vue des criminels

Version imprimable, PDF et e-mail

« Allons-nous payer ? »

C'est bien souvent le premier point d'interrogation qui se pose lorsque vient le temps d'aborder la question des attaques par ransomware (de préférence, avant d'en être vous-même victime).  Pour répondre à cette question, les entreprises vont évaluer les coûts d'un programme de défense contre les ransomwares, mais aussi les risques qu'elles sont prêtes à prendre et la pertinence d'un refus de payer face aux dommages occasionnés par l'arrêt de leurs activités ou une récupération ratée.

Mais chefs d'entreprise et professionnels de la sécurité ne sont certainement pas les seuls à se pencher sur la question.  Les pirates aussi pèsent le pour et le contre, et examinent les chiffres afin de déterminer le montant parfait, celui qui leur assurera un bon retour sur investissement tout en restant acceptable aux yeux de l'entreprise attaquée.  Ce précepte n'est toutefois pas appliqué par tous les hackers. Certaines attaques sont perpétrées par des États dont les intérêts dépassent largement le paiement d'une rançon, quand d'autres criminels se contentent d'avoir recours à des kits pour initier un large volume d'attaques à bas coût.  Les attaques organisées s'inscrivent dans une tout autre logique. Ces criminels connaissent les coûts qui y sont associés et investissement dans des technologies qui leur permettent de développer leur « activité ».  À l'instar de toute entreprise légitime, ils gardent un œil attentif sur leur résultat.

Ces criminels connaissent les coûts associés aux attaques par ransomware et investissent dans des technologies qui leur permettent de développer leur « activité ». À l'instar de toute entreprise légitime, ils gardent un œil attentif sur leur résultat.Cliquez pour tweeter

Le business des ransomwares

Voici quelques postes d'investissement majeurs pour ces cybercriminels :

Infrastructure :  une infrastructure physique, logicielle et humaine engendre des coûts, même pour les professionnels du cybercrime.  Certaines organisations embauchent ainsi des traducteurs et la plupart d'entre elles mettent leurs victimes en relation avec un service d'assistance technique disponible 24 h/24 et 7 j/7 pour les aider à verser leur rançon.  D'autres encore disposent de leur propre équipe de développeurs prête à créer de nouvelles souches de ransomware pour faire tomber les défenses des entreprises attaquées.  Tout cela a un certain coût, mais les pirates font souvent appel à d'autres réseaux pour la distribution ou le codage.  S'il est difficile d'estimer avec précision le montant dont il est question, le rapport 2018 sur l'écosystème du marché noir nous donne quelques indications sur les frais mensuels associés à chaque campagne :

  • Estimation moyenne des coûts opérationnels : 1044 $
  • Estimation la plus élevée des coûts opérationnels : 2625 $
  • Estimation la plus faible des coûts opérationnels : 391 $
  • Composants : charge de ransomware + outil de téléchargement + outil de chiffrement + hébergement fast-flux + méthode de distribution (spam/redirection/service de « charge » de malwares/force brute)

Recherche et développement.  Pour être rentable, l'attaque doit être suffisamment agressive pour réduire à néant les chances d'une récupération rapide pour l'entreprise ciblée.  Les pirates sont donc contraints d'améliorer sans cesse leurs méthodes et logiciels s'ils souhaitent garder l'avantage sur les systèmes de défense contre les ransomwares.  Quelques exemples :

Amélioration du code en continu : code polymorphe, chiffrement amélioré, attaques aléatoires.  Les attaques par ransomware ne présenteraient pas aujourd'hui le même degré de dangerosité si le développement n'avait pas connu de telles avancées.  Le code polymorphe permet de modifier légèrement la signature du ransomware à chaque nouvelle infection, le rendant ainsi bien plus difficile à identifier.  Quant à l'amélioration du chiffrement, elle complique la tâche des chercheurs qui s'évertuent à développer des clés de déchiffrement pour le grand public.  Enfin, parmi les efforts de développement menés en continu par les pirates, citons les exploit kits et autres types de malwares.

Services d'abonnement : nécessitant un autre type d'infrastructure et d'assistance,  ces services organisés permettent à d'autres hackers de lancer leurs propres opérations, à plus petite échelle, en s'appuyant sur une offre Ransomware-as-a-Service (RaaS).  Fidèles au modèle « as-a-Service », ils offrent aux nouveaux acteurs un accès à des systèmes plus puissants et des logiciels plus récents tout en amplifiant l'impact de l'attaque. La plupart des fournisseurs s'octroient un pourcentage de 10 à 40 % du montant de la rançon et, comme pour beaucoup de programmes de partenariat légitimes, les participants sont récompensés sur la base de leurs performances.

Recherche en ingénierie sociale.  Si les criminels misent toujours sur une approche aléatoire et à grande échelle, les ransomwares se cachent aussi bien souvent dans des e-mails de spear-phishing.  Les pirates s'appuient alors sur l'ingénierie sociale pour identifier les cibles de grande valeur et construire l'attaque.  Le temps et les efforts investis dans ces recherches varient, mais lorsque ces dernières sont fructueuses, le jeu en vaut souvent la chandelle.

Ne plus se contenter des PC.  Pendant longtemps, les développeurs de ransomwares se sont attaqués aux systèmes Windows sans correctifs, mais ils ne s'arrêtent plus là.  Face à la popularité grandissante d'autres appareils et plateformes, de nouveaux types d'attaques ont vu le jour.  MacRansom RaaS a ainsi été le premier ransomware largement identifié à cibler les Mac et le 2019 Verizon Mobile Security Index signale qu'au moins une forme de ransomware cible aujourd'hui les appareils iOS.  Sur Android, l'identification des premiers ransomwares remonte à 2014, un phénomène exacerbé par la façon dont Android gère les applications tierces.  La menace des ransomwares pèse aussi de plus en plus sur l'IoT. Les hackers se creusent désormais la tête pour trouver comment verrouiller les systèmes de contrôle industriels et autres appareils en réseau essentiels à l'activité des entreprises.

Image de marque.  Bien sûr, il n'est pas ici question de programmes de grande ampleur, mais ces organisations se soucient bel et bien de leur réputation.  Il est ainsi important pour elles que leurs victimes, mais aussi le secteur de la cybersécurité, sachent qu'elles tiendront parole. C'est pourquoi elles ne tardent généralement pas à transmettre la clé de déchiffrement une fois la rançon payée et ne réitèrent pas leur attaque.  Si l'on en croit Mark Rasch, avocat spécialiste des questions de cybersécurité, « ils souhaitent être perçus comme des voleurs dignes de confiance ».  Cet objectif passe par la mise en place de systèmes qui associent paiements et ordinateurs  afin que le pirate puisse connaître avec certitude l'identité de la personne qui a versé la rançon.

Les pirates qui ont recours aux ransomwares cherchent à inspirer confiance pour vous convaincre de payer la rançon. Certains proposent même une assistance technique et un essai gratuit de leur outil de déchiffrement. Cliquez pour tweeter

 

 

Retour sur investissement

Les cybercriminels les plus organisés ont une connaissance suffisante du secteur et des risques associés pour savoir combien cette activité doit leur rapporter.  Ce savoir leur permet de négocier ou d'abandonner des transactions voire d'adapter le montant de la rançon à la victime.

À moins de faire partie de ce monde, difficile de savoir avec exactitude combien gagnent ces organisations, mais les données suivantes nous en donnent un aperçu :

Peu de doute quant à l'avenir des ransomwares : ils ne disparaitront pas de sitôt.  Au contraire, l'ampleur de ces attaques devrait même être renforcée par l'utilisation de l'intelligence artificielle pour le déploiement d'attaques deepfake.

Face à cette menace, plusieurs technologies sont disponibles pour aider votre entreprise à se protéger, notamment des systèmes conçus pour apprendre à votre équipe à reconnaître et lutter contre ces attaques.  Consultez notre page dédiée à la lutte contre les ransomwares pour découvrir comment Barracuda peut vous aider à protéger votre entreprise et votre réputation.

 

Remonter en haut de page
Tweeter
Partager
Partager