Pas de répit pour les RSSI. Sur l'année écoulée, les responsables de la sécurité de l'information en entreprises - mais aussi collectivités, administrations, ministères... - ont du lutter contre de très nombreuses infections de malware, en particulier des ransomwares loin d'avoir été éradiqués du paysage. Cette année c'est même pire, d'après une étude menée par Bitdefender, avec un nombre grandissant d'attaques ayant ciblé une très large variété de secteurs. « Les opérateurs de ransomware n'ont pas fait de discrimination et les souches de rançongiciels comme LockerGoga, Ryuk et REvil (alias Sodinokibi ou Sodin) - retombées de la tristement célèbre GandCrab - ont fait les gros titres au premier semestre 2019. Les secteurs verticaux les plus ciblés vont de l'éducation, du gouvernement, des infrastructures critiques (distribution d'eau, centrales électriques), soins de santé et services, jusqu'aux MSP dont les offres comprennent des services de cybersécurité pour de grands portefeuilles clients ».

Preuve que le sujet des infections par ransomwares est brûlant, certaines cibles comme la Louisiane abattent même la carte de l'Etat d'urgence quitte parfois, comme la Nouvelle-Orléans, à en faire un peu trop. D'après Forrester, le nombre de ce type d'attaques concernant des entreprises a même grimpé de 500% sur un an. Tous les systèmes sont potentiellement exposés aux rançongiciels et pas seulement sous Windows. Dernièrement, NextCry a été identifié, chiffrant les fichiers sur les serveurs Nextcloud sous Linux et PureLocker les systèmes multi-OS.

La France loin d'être épargnée

En France, nombre d'organisations ont été victimes de ransomwares cette année. Cela a été le cas dernièrement pour les groupes de distribution et détaillants en vêtements Go Sport et Courir et en début d'année Altran visé par un crypto-locker utilisant un « code inédit indétectable par les meilleurs pare-feux et mécanismes de défense informatique », avait indiqué la SSI à l'époque. D'autres groupes moins connus du grand public mais très stratégiques ont également fait les frais de ce type d'attaques, comme par exemple le creusois Picoty SA spécialisé dans le négoce de produits pétroliers à qui il avait été demandé une rançon de 500 000 euros pour déchiffrer 80% de ses données.

Les chiffres des infections ne sont pas en reste. Selon Malwarebytes, le nombre d'attaques par ransomware a progressé au deuxième trimestre 2019 de 365% par rapport à l'année précédente. Sur le troisième trimestre écoulé, Kaspersky a de son côté enregistré 229 643 attaques par rançongiciels, en recul sur un an de 11%. Des chiffres contrastés qui font état d'une évolution de la nature des attaques et de leur volume. Alors qu'auparavant les attaquants réalisaient des attaques massives afin de toucher le plus de monde possible, ces derniers mois une évolution dans la stratégie d'attaque semble se dessiner, à savoir une sélection plus rigoureuse des cibles. En clair : des campagnes de ransomwares moins importantes en termes de volumes, mais resserrées sur des cibles potentielles plus juteuses comme des aéroports touchant moins le grand public que les entreprises. 

Des rançons quand même versées

A l'image de ce qui s'est passé avec le phishing qui a évolué vers un hameçonnage plus ciblé (spear phishing), les attaques par ransomware se sont resserrées sur des organismes à même de régler la note. Avec un certain succès. Le groupe Riveira Beach a ainsi versé aux pirates 600 000 dollars (payés avec 65 bitcoins) tandis que le comté de Jackson en Georgie a payé 400 000 dollars pour déchiffrer ses fichiers cryptés. Et ce, alors qu'il n'existe aucune garantie pour voir ses fichiers décodés et que les forces de l'ordre autant que les agences chargées de la sécurité de l'information - à l'instar de l'ANSSI en France - indiquent clairement de ne jamais régler les rançons demandées par les cyberpirates.