Le marché du ransomware est un business particulièrement lucratif, si l’on en croit l’étude menée par Coreware, société spécialisée dans ce type d’attaques. Elle a l’habitude d’analyser l’évolution des menaces et des montants réclamés aux victimes. Ainsi, elle a constaté une hausse de 33% du montant moyen des demandes de rançon par rapport au trimestre précédent. Dans le détail, les grandes entreprises ont été particulièrement visées et les sommes réclamées ont été de facto plus importantes. Le montant moyen de la rançon est passé à 111 605 dollars. « Les paiements de rançon des grandes entreprises sont minoritaires en volume, mais leur montant a considérablement fait augmenter le niveau moyen de la rançon », précise Coreware.

Un ciblage et une professionnalisation de plus en plus prononcés

Cette poussée du montant s’explique par le dynamisme de deux groupes très actifs : Sodinokibi et Ryuk. Le premier dispose d’un part de marché de 26,7% dans le palmarès des ransomwares, alors que Ryuk pointe à 19,6%. A eux deux, ils représentent près de la moitié de la menace. Coreware avertit sur la montée en charge de Mamba et ses variantes. L’envolée montre aussi une professionnalisation des acteurs du ransomware, ciblant de plus en plus des entreprises ayant une assise financière suffisante pour payer pour le déchiffrement des données (cf schéma ci-dessous). Preuve de cette orientation vers les grands comptes, le montant médian demandé aux PME-PMI s’élève à 44 021 dollars au premier trimestre 2020, en hausse par rapport au 41 179 dollars enregistrés au quatrième trimestre 2019.

La courbe du montant moyen des ransomwares a explosé depuis le troisième trimestre 2018 (Crédit Photo: Coverware)

Par ailleurs, l’étude observe que la tactique consistant à rajouter le chantage (en rendant publique les données) à la demande de rançon est de plus en plus utilisée. Au moins sept opérateurs exfiltrent les fichiers avant de chiffrer les systèmes. Parmi eux, on trouve Sodinokibi, Maze, DopplePaymer, Clop, Sekhmet, Nephilim, Mespinoza, Netwalker et Nemty.

Dernier point, le rapport estime que le taux moyen de récupération des données après paiement de la rançon était de 96%. C’est un point de moins que le trimestre précédent. Toutefois, les cas sont assez disparates, car Coreware précise que dans certains cas « le taux de récupération des données n’a été que de 40%, de sorte que les victimes ont retrouvé moins de la moitié de leurs dossiers ». Toujours est-il que la recommandation officielle des autorités françaises comme l’ANSSI est de ne pas payer la rançon.