Blog WatchGuard

Les détections de ransomware en hausse de 627 %

Share on LinkedIn Share on X Share on Reddit

Les ransomwares représentent toujours une menace et leur présence croît tellement que certaines entreprises vont jusqu’à inclure les montants des rançons dans leur budget annuel.

Les données de notre dernier rapport sur la sécurité Internet - Q4 2022 révèlent un taux alarmant de détections de ransomware sur les endpoints avec une augmentation de 627 % en 2022 par rapport à l’année précédente. Bien que les ransomwares touchent tous les secteurs, le rapport montre clairement que le secteur manufacturier a été le plus touché en 2022. Les attaques visant les endpoints ont augmenté de 87 % en 2022 par rapport à 2021 et 72 % d’entre elles ciblaient le secteur manufacturier, selon une récente étude sur les menaces et les tendances dans l’espace des technologies opérationnelles (OT).

Quand les ransomwares ont-ils vu le jour et comment ont-ils évolué ?

La nature des ransomwares a changé avec l’affinement des tactiques d’extorsion des cybercriminels. Par exemple, en seulement un an, de 2021 à 2022, le temps moyen pour déployer une attaque par ransomware est passé de deux mois à moins de quatre jours. Mais quand ce type de cyberattaque a-t-il été déployé pour la première fois et comment a-t-il évolué pour devenir la menace que nous connaissons aujourd’hui ?

  • 1989 : la première attaque de ransomware a eu lieu après la conférence de l’Organisation mondiale de la santé sur le sida en 1989, lorsqu’un acteur malveillant a envoyé 20 000 disquettes contenant un ransomware et a exigé un paiement de 189 dollars sous couvert d’une enquête sur le VIH.

     
  • 2004-2006 : en 2004, une campagne d’hameçonnage avec des liens malveillants a infecté les victimes en utilisant une attaque connue sous le nom de GPCode Archievius qui a chiffré les fichiers des systèmes Windows et exigé 20 dollars pour la clé de déchiffrement. En 2006, les auteurs du ransomware avaient dirigé leurs efforts vers Archievius, mais sans succès, car ils n’utilisaient pas de mots de passe différents pour déverrouiller les systèmes et les cibles de l’attaque ont découvert cette erreur.

     
  • 2010-2015 : les années 2010 ont vu l’émergence de ransomwares de type « locker » liés aux débuts des cryptomonnaies. En 2011, WinLock a infecté des utilisateurs qui avaient visité des sites Web malveillants et bloqué totalement l’accès à leurs appareils. En 2012, le premier Ransomware-as-a-Service (RaaS) a émergé avec le malware Reveton, une attaque qui se faisait passer pour des messages envoyés par les forces de l’ordre et menaçait les utilisateurs de peines de prison s’ils ne payaient pas une rançon en Bitcoin. En 2013, CryptoLocker a frappé, une variante des types « locker » et « crypto » qui a rapporté à ses auteurs plus de 27 millions de dollars en paiements de rançon au cours des deux premiers mois. Avec SimpleLocker, en 2014, les ransomwares ne se limitaient plus aux PC mais se sont étendus vers d’autres appareils, le malware étant le premier ransomware à chiffrer des fichiers sur les appareils Android. Et en 2015, LockerPin qui ciblait également les appareils mobiles a verrouillé les utilisateurs de leurs appareils et a changé leur code PIN.

     
  • 2016 : les malwares Petya ont été la première variante à ne pas chiffrer les fichiers individuels, car les pirates avaient réussi à verrouiller plus rapidement l’intégralité du disque dur de leurs victimes.

     
  • 2017 : cette année, le ransomware est devenu mondial grâce au ransomworm WannaCry qui a touché des centaines de milliers de machines dans plus de 150 pays et dans des secteurs différents. La variante NotPetya est également apparue cette année. Elle a incorporé de nouvelles fonctions de type « wiper » qui pouvaient supprimer et détruire les fichiers des utilisateurs.

     
  • 2018-2022 : au cours des cinq dernières années, le ransomware a évolué dans sa phase la plus pernicieuse à ce jour. Parmi les facteurs qui ont influencé cette transformation, il y a le recours à la double extorsion. Dans ces cas, les attaquants chiffrent les données de leurs victimes mais les volent également. Il y a également la chasse au gros gibier, c’est-à-dire la poursuite des grandes entreprises comme cibles. Il est important de noter que même si le nombre de grandes entreprises visées augmentent, les attaques par ransomware contre les petites entreprises qui ont été observées par le passé se maintiennent en nombre.

     
  • 2022-2023 : 2022 a été une année record pour les détections de ransomware pour WatchGuard, avec une augmentation de 627 % des détections par rapport à 2021. De notre analyse, nous concluons que Lockbit est sans aucun doute le groupe de ransomware le plus redoutable dans le vol de données d’entreprise, grâce à ses nombreuses filiales. De nouvelles variantes des malwares Lockbit apparaissent régulièrement.

Les tendances en matière de ransomware sont dominées par la montée en puissance des Ransomwares-as-a-Service (RaaS), alimentée par la disponibilité croissante des plateformes RaaS qui offrent désormais des fonctionnalités et des services tels que la personnalisation des malwares, l’assistance ou un système de paiement de ransomware. En outre, les failles « zero day » sont devenues l’un des vecteurs d’entrée préférés des attaquants par ransomware. Des technologies telles que l’Intelligence Artificielle et le Machine Learning ont également gagné du terrain dans ce secteur et sont utilisées par les cybercriminels pour rendre les ransomwares plus sophistiqués et difficiles à détecter. Les attaquants tirent parti de l’automatisation pour réduire le risque d’erreur humaine, en particulier en phase de pénétration, car cela nécessite généralement un effort important et un investissement de temps conséquent. Une autre tendance qui a gagné du terrain est la personnalisation de ces attaques. Les acteurs étudient alors le profil de leurs victimes en profondeur et construisent une stratégie complète pour déployer des malwares. Ensemble, ces développements ont eu un impact majeur sur l’industrie de la cybersécurité, estimée à plusieurs milliards de dollars aujourd’hui.

Lutter contre les ransomwares avec la sécurité des endpoints

Pour lutter contre ces tendances, les entreprises doivent mettre en place des contrôles de sécurité avancés afin de prévenir un incident et élaborer des plans robustes de continuité et de reprise de l’activité. En combinant les capacités EPP et EDR, la mise en œuvre d’une solution de sécurité unifiée pour les endpoints offre des avantages dans la gestion des menaces sophistiquées telles que les ransomwares. Elle fournit une surveillance continue des endpoints, elle est capable de détecter et classer toutes les activités, révélant et bloquant ainsi les comportements anormaux des utilisateurs, des machines et des processus.

La solution EPDR de WatchGuard remplit ces critères tout en automatisant les capacités de prévention, de détection, de confinement et de réponse de toute menace sophistiquée. Cela permet en retour la découverte proactive de nouvelles techniques et tactiques de cyberattaque et d’évasion, il s’agit donc d’un point clé compte tenu de l’évolution continue des ransomwares et de leur niveau de sophistication de plus en plus avancé.

Pour en savoir plus sur les ransomwares et comment s'en protéger, retrouvez notre eBook « Comment s’échapper du dédale des ransomwares », notre article « Comment stopper les attaques sophistiquées par ransomware » ainsi qu’un focus sur la protection des cabinets juridiques.