Retour sur investissement des ransomwares, du point de vue des criminels

Version imprimable, PDF et e-mail

« Allons-nous payer ? »

C'est bien souvent le premier point d'interrogation qui se pose lorsque vient le temps d'aborder la question des attaques par ransomware (de préférence, avant d'en être vous-même victime).  Pour répondre à cette question, les entreprises vont évaluer les coûts d'un programme de défense contre les ransomwares, mais aussi les risques qu'elles sont prêtes à prendre et la pertinence d'un refus de payer face aux dommages occasionnés par l'arrêt de leurs activités ou une récupération ratée.

Mais chefs d'entreprise et professionnels de la sécurité ne sont certainement pas les seuls à se pencher sur la question.  Les pirates aussi pèsent le pour et le contre, et examinent les chiffres afin de déterminer le montant parfait, celui qui leur assurera un bon retour sur investissement tout en restant acceptable aux yeux de l'entreprise attaquée.  Ce précepte n'est toutefois pas appliqué par tous les hackers. Certaines attaques sont perpétrées par des États dont les intérêts dépassent largement le paiement d'une rançon, quand d'autres criminels se contentent d'avoir recours à des kits pour initier un large volume d'attaques à bas coût.  Les attaques organisées s'inscrivent dans une tout autre logique. Ces criminels connaissent les coûts qui y sont associés et investissement dans des technologies qui leur permettent de développer leur « activité ».  À l'instar de toute entreprise légitime, ils gardent un œil attentif sur leur résultat.

Ces criminels connaissent les coûts associés aux attaques par ransomware et investissent dans des technologies qui leur permettent de développer leur « activité ». À l'instar de toute entreprise légitime, ils gardent un œil attentif sur leur résultat.Cliquez pour tweeter

Le business des ransomwares

Voici quelques postes d'investissement majeurs pour ces cybercriminels :

Infrastructure :  une infrastructure physique, logicielle et humaine engendre des coûts, même pour les professionnels du cybercrime.  Certaines organisations embauchent ainsi des traducteurs et la plupart d'entre elles mettent leurs victimes en relation avec un service d'assistance technique disponible 24 h/24 et 7 j/7 pour les aider à verser leur rançon.  D'autres encore disposent de leur propre équipe de développeurs prête à créer de nouvelles souches de ransomware pour faire tomber les défenses des entreprises attaquées.  Tout cela a un certain coût, mais les pirates font souvent appel à d'autres réseaux pour la distribution ou le codage.  S'il est difficile d'estimer avec précision le montant dont il est question, le rapport 2018 sur l'écosystème du marché noir nous donne quelques indications sur les frais mensuels associés à chaque campagne :

  • Estimation moyenne des coûts opérationnels : 1044 $
  • Estimation la plus élevée des coûts opérationnels : 2625 $
  • Estimation la plus faible des coûts opérationnels : 391 $
  • Composants : charge de ransomware + outil de téléchargement + outil de chiffrement + hébergement fast-flux + méthode de distribution (spam/redirection/service de « charge » de malwares/force brute)

Recherche et développement.  Pour être rentable, l'attaque doit être suffisamment agressive pour réduire à néant les chances d'une récupération rapide pour l'entreprise ciblée.  Les pirates sont donc contraints d'améliorer sans cesse leurs méthodes et logiciels s'ils souhaitent garder l'avantage sur les systèmes de défense contre les ransomwares.  Quelques exemples :

Amélioration du code en continu : code polymorphe, chiffrement amélioré, attaques aléatoires.  Les attaques par ransomware ne présenteraient pas aujourd'hui le même degré de dangerosité si le développement n'avait pas connu de telles avancées.  Le code polymorphe permet de modifier légèrement la signature du ransomware à chaque nouvelle infection, le rendant ainsi bien plus difficile à identifier.  Quant à l'amélioration du chiffrement, elle complique la tâche des chercheurs qui s'évertuent à développer des clés de déchiffrement pour le grand public.  Enfin, parmi les efforts de développement menés en continu par les pirates, citons les exploit kits et autres types de malwares.

Services d'abonnement : nécessitant un autre type d'infrastructure et d'assistance,  ces services organisés permettent à d'autres hackers de lancer leurs propres opérations, à plus petite échelle, en s'appuyant sur une offre Ransomware-as-a-Service (RaaS).  Fidèles au modèle « as-a-Service », ils offrent aux nouveaux acteurs un accès à des systèmes plus puissants et des logiciels plus récents tout en amplifiant l'impact de l'attaque. La plupart des fournisseurs s'octroient un pourcentage de 10 à 40 % du montant de la rançon et, comme pour beaucoup de programmes de partenariat légitimes, les participants sont récompensés sur la base de leurs performances.

Social engineering research.  Although criminals continue to use large-scale “spray and pray” tactics, Ransomware is frequently delivered through spear-phishing emails.  These attacks rely on social engineering research that allows the criminal to identify high-value targets and then construct an attack.  The time and effort invested in the research vary, but good research can pay off in a big way.

Moving beyond the PC.  Ransomware developers found unpatched Windows systems to be easy targets, but they didn't stop there.  The popularity of other devices and platforms has driven the development of new types of attacks.  MacRansom RaaS was the first widely reported ransomware that targeted Macs, and the 2019 Verizon Mobile Security Index reports that there is at least one form of ransomware targeting iOS devices.  Android ransomware dates back to 2014 and is more prevalent due to the way Android handles third-party apps.  IoT ransomware is also a growing threat, as criminals look for ways to lock owners out industrial control systems and other mission-critical networked devices.

Image de marque.  Bien sûr, il n'est pas ici question de programmes de grande ampleur, mais ces organisations se soucient bel et bien de leur réputation.  Il est ainsi important pour elles que leurs victimes, mais aussi le secteur de la cybersécurité, sachent qu'elles tiendront parole. C'est pourquoi elles ne tardent généralement pas à transmettre la clé de déchiffrement une fois la rançon payée et ne réitèrent pas leur attaque.  Si l'on en croit Mark Rasch, avocat spécialiste des questions de cybersécurité, « ils souhaitent être perçus comme des voleurs dignes de confiance ».  Cet objectif passe par la mise en place de systèmes qui associent paiements et ordinateurs  afin que le pirate puisse connaître avec certitude l'identité de la personne qui a versé la rançon.

Les pirates qui ont recours aux ransomwares cherchent à inspirer confiance pour vous convaincre de payer la rançon. Certains proposent même une assistance technique et un essai gratuit de leur outil de déchiffrement. Cliquez pour tweeter

 

 

Retour sur investissement

Les cybercriminels les plus organisés ont une connaissance suffisante du secteur et des risques associés pour savoir combien cette activité doit leur rapporter.  Ce savoir leur permet de négocier ou d'abandonner des transactions voire d'adapter le montant de la rançon à la victime.

À moins de faire partie de ce monde, difficile de savoir avec exactitude combien gagnent ces organisations, mais les données suivantes nous en donnent un aperçu :

Peu de doute quant à l'avenir des ransomwares : ils ne disparaitront pas de sitôt.  Au contraire, l'ampleur de ces attaques devrait même être renforcée par l'utilisation de l'intelligence artificielle pour le déploiement d'attaques deepfake.

Face à cette menace, plusieurs technologies sont disponibles pour aider votre entreprise à se protéger, notamment des systèmes conçus pour apprendre à votre équipe à reconnaître et lutter contre ces attaques.  Consultez notre page dédiée à la lutte contre les ransomwares pour découvrir comment Barracuda peut vous aider à protéger votre entreprise et votre réputation.

 

Remonter en haut de page
Tweeter
Partager
Partager