Plus d’un quart des attaques au rançongiciel ciblent les entreprises

En 2017, 26,2 pour cent des cibles touchées par des rançongiciels étaient des utilisateurs professionnels, contre 22,6 pour cent en 2016. Cette progression est due en partie à trois attaques sans précédent visant des réseaux d’entreprise qui ont à jamais changé la donne, s’agissant de cette menace de plus en plus redoutable, estime Kaspersky Lab dans son Story of the Year 2017-rapport annuel.

2017 restera dans les mémoires comme l’année où la menace des ransomware a évolué de manière soudaine et spectaculaire. Divers acteurs avancés ciblant des entreprises du monde entier avec une série d’attaques destructrices à base de vers dont le but ultime demeure un mystère. Ces attaques comprenaient WannaCry le 12 mai, ExPetr le 27 juin, et BadRabbit fin octobre. Toutes utilisaient des vecteurs d’attaque conçus pour compromettre les réseaux d’entreprise. Mais les entreprises ont aussi été ciblées par d’autres logiciels d’extorsion et au total, la société a évité des infections par ransomware chez plus de 240.000 utilisateurs corporate. Les principales attaques de 2017 sont un exemple extrême de l’intérêt accru que portent désormais les cybercriminels aux cibles corporate.
Autres tendances constatées en 2017
-Globalement, un peu moins de 950.000 utilisateurs uniques ont été attaqués en 2017, contre près de 1,5 million en 2016 – l’écart entre ces deux chiffres tenant pour l’essentiel à la méthodologie de détection (à titre d’exemple : les téléchargements souvent associés à des cryptomalware sont désormais mieux détectés par les technologies d’analyse heuristique, et ne sont plus classifiés avec les verdicts de rançongiciels collectés par notre télémétrie).
-Les trois attaques majeures, au même titre que d’autres familles moins connues, comprenant AES-NI et Uiwix, utilisaient les cyberarmes sophistiquées publiées en ligne au printemps 2017 par un groupe connu sous le nom de Shadow Brokers.
-On observe une diminution considérable pour ce qui est des nouvelles familles de rançongiciels : 38 en 2017, contre 62 en 2016, avec une augmentation correspondante des modifications apportées aux ransomware existants (plus de 96.000 nouvelles modifications ont été détectées en 2017, contre 54.000 en 2016). La multiplication des modifications pourrait traduire la volonté des agresseurs de brouiller les pistes alors que les solutions de sécurité détectent toujours plus efficacement leurs rançongiciels.
A partir du deuxième trimestre de 2017, plusieurs groupes ont mis un terme à leurs activités d’extorsion et publié les clés nécessaires pour décrypter les fichiers. Parmi ceux-ci figuraient AES-NI, xdata, Petya/Mischa/GoldenEye et Crysis. Crysis est réapparu par la suite – probablement ressuscité par un groupe différent.
-La tendance croissante à l’infection des entreprises par le biais de systèmes informatiques de bureau distants s’est poursuivie en 2017, cette approche devenant l’une des principales méthodes de propagation pour plusieurs familles parmi les plus répandues, telles que Crysis, Purgen/GlobeImposter et Cryakl.
-65 pour cent des entreprises touchées par des rançongiciels en 2017 indiquent avoir perdu l’accès à une partie importante, voire à l’intégralité de leurs données, et une entreprise sur six ayant payé la rançon n’a jamais récupéré ses données. Ces chiffres sont dans une large mesure conformes à ceux de 2016.
Heureusement, l’initiative No More Ransom lancée en juillet 2016 se porte bien. Le projet réunit les organismes chargés de l’application de la loi et les fournisseurs de sécurité en vue de traquer et de mettre à mal les familles de rançongiciels, en aidant les individus à récupérer leurs données et en sapant le modèle économique lucratif des criminels.
Tous les produits de Kaspersky Lab protègent les utilisateurs contre les logiciels d’extorsion. Les produits de la société incluent aussi une couche de technologie – System Watcher – capable de bloquer et d’annuler les modifications malveillantes effectuées sur un appareil, comme le chiffrement de fichiers ou le blocage de l’accès au moniteur. Un outil anti-ransomware gratuit est par ailleurs disponible pour toutes les entreprises, quelle que soit la marque du logiciel de sécurité qu’elles utilisent.
Source : Kaspersky Lab