Les demandes et les paiements des ransomwares atteignent de nouveaux records

La rançon moyenne payée par les organisations de victimes a augmenté de 82% depuis 2020 pour atteindre un record de 570 000 $, alors que les cybercriminels intensifient leurs efforts de ransomware avec des tactiques de plus en plus agressives, selon les données du groupe de conseil en sécurité Palo Alto Networks Unit 42.

L’unité 42 a également constaté que la demande moyenne de rançon a augmenté de 518% par rapport à la moyenne de 2020 de 847 000 $, à 5,3 millions de dollars, au premier semestre de 2021.

Le groupe avait précédemment révélé en mars 2021 que la rançon moyenne payée avait presque triplé entre 2019 et 2020 – de 115 123 $ à 312 493 $ – et avait noté la prévalence croissante des tactiques de « double extorsion », par lesquelles les gangs ransomware volent et menacent de divulguer des données en plus de les chiffrer comme tactique de honte.

Alors que le rapport de mars de l’Unité 42 a signalé la double extorsion comme une pratique émergente en 2020, les dernières observations montrent que les attaquants doublent une fois de plus le nombre de techniques d’extorsion qu’ils déploient.

« Les opérateurs de ransomware utilisent maintenant couramment jusqu’à quatre techniques pour faire pression sur les victimes afin qu’elles paient », a écrit l’unité 42 dans un billet de blog, qui comprend le cryptage, le vol de données, le déni de service (DoS) et le harcèlement.

« Bien qu’il soit rare qu’une organisation soit victime des quatre techniques, cette année, nous avons vu de plus en plus de gangs de ransomware s’engager dans des approches supplémentaires lorsque les victimes ne paient pas après le cryptage et le vol de données. »

Dans ses conclusions mises à jour, publiées le 9 août, Unit 42 a ajouté que la demande de rançon la plus élevée que ses consultants avaient observée en 2021 jusqu’à présent était de 50 millions de dollars, contre 30 millions de dollars l’année dernière. Cependant, en termes de paiements de rançon réels effectués, le plus grand confirmé en 2021 était les 11 millions de dollars en Bitcoin que la société brésilienne de viande JBS SA a payés aux cybercriminels après une attaque massive en juin qui a perturbé ses usines de transformation basées aux États-Unis.

Bien que le gang ransomware REvil ait offert de fournir à toutes les organisations touchées par son attaque sur Kaseya une clé de décryptage universelle pour $70m, Unité 42 a déclaré que le prix demandé a été rapidement tombé à $50m et, malgré Kaseya finalement obtenir un, il est encore difficile de savoir si un paiement a été réellement effectué dans ce cas.

« Nous nous attendons à ce que la crise des ransomwares continue de prendre de l’ampleur au cours des prochains mois, alors que les groupes de cybercriminalité peaufinent davantage les tactiques pour contraindre les victimes à payer et développent également de nouvelles approches pour rendre les attaques plus perturbatrices », a déclaré Unit 42.

« Par exemple, nous avons commencé à voir des gangs de ransomwares chiffrer un type de logiciel connu sous le nom d’hyperviseur, qui peut corrompre plusieurs instances virtuelles s’exécutant sur un seul serveur. Nous nous attendons à voir un ciblage accru des hyperviseurs et d’autres logiciels d’infrastructure gérés dans les mois à venir.

« Nous nous attendons également à voir davantage de ciblage des fournisseurs de services gérés et de leurs clients à la suite de l’attaque qui a tiré parti du logiciel de gestion à distance Kaseya, qui a été utilisé pour distribuer des ransomwares aux clients des fournisseurs de services gérés (MSP). »

Il a ajouté que même si l’Unité 42 s’attend à ce que les rançons poursuivent leur trajectoire ascendante, elle s’attend également à ce que certains gangs se concentrent plutôt sur le bas de gamme du marché, où les entreprises sont beaucoup plus petites et manquent de ressources pour investir massivement dans la cybersécurité.

« Jusqu’à présent cette année, nous avons observé des groupes, dont NetWalker, SunCrypt et Lockbit, exiger et prendre en charge des paiements allant de 10 000 $ à 50 000 $. Bien qu’ils puissent sembler petits par rapport aux rançons les plus importantes que nous avons observées, des paiements de cette taille peuvent avoir un impact débilitant sur une petite organisation », a-t-il déclaré.

Selon le rapport de sécurité de mi-année 2021 de Check Point, 93% d’attaques de ransomware supplémentaires ont été effectuées au premier semestre de 2021 que la même période l’année dernière. Il a en outre noté une augmentation du nombre d’attaques ciblant les chaînes d’approvisionnement en 2021, y compris l’attaque très médiatisée contre SolarWinds à partir de décembre 2020, ainsi que les attaques contre Codecov en avril et, plus récemment, Kaseya en juillet.