Les victimes de ransomwares paient, mais les escrocs en redemandent
Les experts en cybersécurité mettent en garde contre le paiement de rançons. Voici pourquoi.
De nombreuses organisations victimes d’attaques par ransomware finissent par payer plusieurs fois une rançon, les cybercriminels exploitant les failles de sécurité pour soutirer à leurs victimes le maximum d’argent.
Selon une analyse réalisée par les chercheurs en cybersécurité de Proofpoint, 58 % des organisations infectées par un ransomware ont payé une rançon aux cybercriminels pour obtenir la clé de déchiffrement. Et dans de nombreux cas, elles ont payé plus d’une fois.
Les forces de l’ordre et les experts en cybersécurité déconseillent aux organisations de payer les rançons, car non seulement il n’y a aucune garantie que la clé fournie fonctionnera, mais le fait de céder aux demandes de rançon ne fait qu’encourager d’autres attaques de ransomware. En effet, cela montre aux cybercriminels que les attaques fonctionnent.
Plutôt deux fois qu’une
Parmi ceux qui ont payé la rançon, un peu plus de la moitié – 54 % – ont retrouvé l’accès aux données et aux systèmes après le premier paiement. Mais un autre tiers des victimes de ransomware a fini par payer une demande de rançon supplémentaire avant de recevoir la clé de déchiffrement, tandis que 10 % ont également reçu des demandes de rançon supplémentaires, mais ont refusé de payer, repartant sans leurs données.
Dans 4 % des cas, les organisations ont payé une ou plusieurs rançons, mais n’ont toujours pas pu récupérer leurs données, soit parce que la clé de déchiffrement était défectueuse, soit parce que les cybercriminels ont tout simplement pris l’argent et se sont enfuis.
Lorsque des organisations sont victimes d’une attaque par ransomware, les escrocs ont souvent infiltré le réseau pendant des semaines ou des mois avant l’attaque. Cela signifie que même si la rançon est payée, les pirates disposent des contrôles et des autorisations nécessaires pour revenir et déclencher une autre attaque.
« Je ne pense pas que beaucoup d’organisations soient conscientes du fait que si les criminels ont été dans votre infrastructure pendant huit semaines, vous ne savez pas ce qu’ils ont encore volé », indique à ZDNet Adenike Cosgrove, stratège en cybersécurité chez Proofpoint.
Les données volées sont couramment utilisées comme levier supplémentaire dans les attaques de ransomwares, car les cybercriminels menacent de les publier s’ils ne reçoivent pas de paiement de rançon. Si cela oblige certaines victimes à payer, rien ne garantit que les cybercriminels ne reviendront pas ultérieurement avec de nouvelles menaces de publication des données volées.
« La première manche est « donnez-moi une rançon pour que je puisse vous donner la clé de déchiffrement ». La seconde est « donnez-moi une rançon ou je vais mettre ces données sur le dark web » », explique-t-elle.
« La troisième peut être « donnez-moi une rançon ou je vais parler aux médias de cette fuite de données que vous avez et dire aux régulateurs que vous n’avez pas informé les clients que leur vie privée était affectée » », ajoute-t-elle.
Mieux vaut prévenir que guérir
La meilleure façon de faire face aux attaques de ransomwares est de les empêcher de se produire.
Selon Proofpoint, 75 % des ransomwares commencent par des attaques de phishing, que les cybercriminels utilisent pour voler des noms d’utilisateur et des mots de passe, ou implanter des chevaux de Troie d’accès à distance pour prendre pied sur le réseau.
La détection précoce d’activités suspectes peut donc permettre d’éviter une attaque de ransomware à grande échelle.
« On suppose qu’une attaque par ransomware est le début d’un incident, mais en réalité, l’incident a commencé il y a des semaines », rappelle la stratège.
Former les utilisateurs à identifier et à signaler les e-mails suspects peut aider les organisations à détecter rapidement les attaques de ransomwares et d’autres logiciels malveillants.
L’activation de l’authentification à deux facteurs peut également constituer un obstacle de taille aux attaques de phishing visant à voler des noms d’utilisateur et des mots de passe, car sans accès à l’authentification, il est beaucoup plus difficile pour les cybercriminels d’exploiter des identifiants de connexion compromis.