Catégories
Etude informatique Ransomware Sécurité

Ransomware: comment les pirates le font, et comment se protéger!

Les ransomwares peuvent filtrer une personne pour l’endettement ou faire couler une entreprise. Se protéger d’eux est un gros problème, d’autant plus que les cybercriminels développent des versions toujours plus virulentes et convaincantes de leurs outils.

«Les ransomwares représentent actuellement la menace informatique la plus grave pour les entreprises et les institutions. Cet avertissement vient de l’ANSSI, l’agence française à la pointe de la cybersécurité. Il faut dire que si les ransomwares (ou ransomwares en anglais) sont utilisés depuis plusieurs décennies pour extorquer quelques centaines d’euros aux particuliers, ils attaquent de plus en plus les grandes entreprises. En conséquence, les cinq principaux gangs concentrent l’attention des médias sur leurs principales opérations, mais le ransomware d’identification du site de référence présente plus de 800 ransomwares différents, dont la majorité sont des individus ciblés.

Lorsqu’ils contaminent avec succès un système, les cybercriminels ont besoin d’une rançon pour être restaurés. Il s’élève à plusieurs centaines d’euros pour les particuliers et peut dépasser dix millions d’euros pour les grands groupes.

Ces opérations sont rentables avec un bénéfice annuel estimé à 2 milliards de dollars. Sur la base de ce succès, les principaux gangs contrôlant les ransomwares sont désormais en mesure de « lancer des attaques avec un niveau de sophistication équivalent aux opérations d’espionnage informatique gérées par l’État », a expliqué l’ANSSI.LIEN

Catégories
Attaque Etude hyères informatique Non classé Ransomware Sécurité

Ransomware: les e-mails de phishing sont de nouveau à la mode

Le courrier électronique était autrefois la principale méthode de distribution des ransomwares. Maintenant, de nouvelles formes de ransomware l’utilisent à nouveau.

Les attaques de ransomwares par e-mail sont à nouveau en hausse, avec plusieurs nouvelles familles de ransomwares récemment distribuées via des messages de phishing.

Le courrier électronique a été le moyen le plus productif d’infecter les victimes avec des rançongiciels pendant un certain temps, mais ces dernières années, les attaquants ont réussi à utiliser des ports RDP externes, des serveurs publics non sécurisés et d’autres vulnérabilités de réseau d’entreprise pour crypter des réseaux entiers – ce qui nécessite souvent des centaines de milliers de dollars pour accéder à nouveau aux données.

Ces dernières semaines, cependant, les chercheurs de Proofpoint ont constaté une augmentation du nombre d’attaques de ransomwares distribuées par e-mail. Certains escrocs ont envoyé des centaines de milliers de messages chaque jour. Les attaques par e-mail utilisent une variété de leurres pour inciter les gens à les ouvrir, y compris les lignes d’objet liées au coronavirus.

L’une des plus grandes campagnes de messagerie électronique est celle d’un nouveau ransomware appelé Avaddon: en une semaine en juin, ce ransomware a été distribué dans plus d’un million de messages, ciblant principalement des organisations aux États-Unis. Avaddon utilise une technique assez basique comme leurre, avec des lignes de sujet prétendant se rapporter à une photo de la victime, attaquant la vanité ou l’insécurité potentielle de la victime. Si la pièce jointe est ouverte, elle télécharge Avaddon à l’aide de PowerShell.

Les ordinateurs infectés mettent une rançon qui nécessite 800 $ en bitcoins en échange d’un « logiciel spécial » pour décrypter le disque dur.

Les gens à la croisée des chemins
L’attaquant derrière Avaddon offre une assistance 24h / 24 et 7j / 7 pour garantir que les victimes disposent des outils nécessaires pour payer la rançon et avertit que si les utilisateurs tentent de récupérer leurs fichiers sans payer, ils risquent de les perdre pour toujours.

Une autre campagne de ransomware par e-mail, détaillée par des chercheurs, a été baptisée « Mr. Robot ». Il cible les entreprises de divertissement, de fabrication et de construction à travers les États-Unis. Les messages prétendument émanant du ministère de la Santé ou des Services de santé utilisent des sujets liés aux résultats du test Covid-19 dans le but d’encourager les victimes à cliquer sur un lien pour afficher un document.

Si la victime clique dessus, un ransomware est installé et les attaquants ont besoin de 100 $ pour récupérer les fichiers. C’est une petite quantité par rapport à de nombreuses campagnes de rançongiciels, ce qui suggère que ce malware cible les utilisateurs à domicile plutôt que les entreprises.

Mais non seulement les organisations en Amérique du Nord sont confrontées à un nombre croissant d’attaques par ransomware de messagerie: elles visent également l’Europe.

Les chercheurs notent que le ransomware de Philadelphie – qui revient après une aberration de trois ans – est destiné aux entreprises alimentaires et de fabrication allemandes avec des leurres de langue allemande qui prétendent provenir du gouvernement allemand.

Les e-mails prétendent contenir des informations sur la fermeture éventuelle de l’entreprise en raison de la pandémie de Covid-19 et exhortent la victime à cliquer sur un lien: s’ils le font, le rançongiciel Philadelphie est installé, avec une note en anglais exigeant le paiement de 200 $.

Alors que le nombre d’attaques par ransomware par courrier électronique est encore faible par rapport à 2016 et 2017, lorsque Locky, Cerber et GlobeImposter étaient massivement distribués, le récent pic des attaques par courrier électronique montre à quel point les cybercriminels peuvent être flexibles.

«Il est raisonnable de dire que les attaques de ransomwares basées sur les e-mails sont laissées dans l’esprit des acteurs malveillants. Ils ont tendance à être flexibles et agiles dans leur travail », a déclaré Sherrod DeGrippo, directeur principal de la recherche et de l’enregistrement des menaces chez Proofpoint.

«Ils veulent se concentrer sur ce qui donne le plus de gain financier et changer de tactique pour obtenir les meilleurs résultats. Cela peut être un simple test d’eau pour voir quels taux de réussite sont disponibles avec cette méthode », a-t-elle ajouté.

L’une des raisons pour lesquelles certains attaquants ont pu revenir au courrier électronique est le nombre de personnes travaillant à distance et la dépendance à l’égard du courrier électronique qu’il implique. « Le courrier électronique permet aux acteurs malveillants de s’appuyer sur le comportement humain pour réussir en un seul clic », a déclaré DeGrippo.

Dans de nombreux cas, il est possible de se défendre contre les ransomwares – et autres attaques de logiciels malveillants – en s’assurant que les réseaux sont corrigés avec les dernières mises à jour de sécurité, empêchant les attaquants d’exploiter les vulnérabilités logicielles connues.

Cependant, les entreprises doivent également prévoir de tenir compte du fait qu’à un moment donné, quelqu’un cliquera par erreur sur un lien malveillant dans un e-mail de phishing.

« Les entreprises doivent supposer que quelqu’un de leur organisation cliquera et développera toujours une stratégie de sécurité qui protège d’abord les gens », a déclaré DeGrippo.

« Les entreprises doivent veiller à évaluer la vulnérabilité des utilisateurs finaux et à tirer des enseignements des menaces actuelles en leur fournissant des compétences utiles pour se protéger au travail et dans leur vie personnelle. »

Catégories
Attaque hyères informatique Ransomware Shade

Les auteurs du rançongiciel Shade mettent fin aux opérations, libèrent 750 000 clés de déchiffrement individuelles et demandent pardon

Les auteurs du rançongiciel Shade mettent fin aux opérations

Des pirates informatiques derrière des ransomwares connus sous le nom de Shade, Troldesh ou Encoder.858 annoncent la fin de leurs activités. Dans un message étonnant sur Github, ils s’excusent auprès de leurs victimes et publient 750 000 clés de décryptage ainsi que des logiciels de cybercriminels pour décrypter les données sur les machines infectées.

Shade Ransomware est opérationnel depuis environ 2014. Contrairement à d’autres familles de ransomwares qui évitent de chiffrer les stations tierces en Russie et dans d’autres pays de l’ex-Union soviétique, Shade les a ciblées depuis la Russie et l’Ukraine.

Michael Gillespie, créateur de l’ID Ransomware du site d’identification des ransomwares, rapporte que les demandes d’informations s’y rapportant étaient régulières dans les années précédant la fin de l’année précédente, date à laquelle elles ont commencé à décliner. La création récente d’une archive GitHub révèle la raison de ce déclin. En résumé, les auteurs du ransomware ont déclaré avoir cessé de mener des attaques fin 2019.

« Nous sommes l’équipe qui a créé un cheval de Troie, principalement connu sous le nom de Shade, Troldesh ou Encoder.858. En fait, nous avons cessé de le distribuer fin 2019. Nous avons maintenant décidé de mettre fin à cette histoire et de publier tous Nous avons également des clés de déchiffrement en notre possession (plus de 750 000 au total), nous publions également notre logiciel de déchiffrement et espérons également que lorsque les fournisseurs d’antivirus, lorsqu’ils auront les clés de déchiffrement, pourront publier des outils de déchiffrement plus conviviaux. l’activité (y compris le code source du cheval de Troie) est irrémédiablement corrompue. Nous nous excusons auprès de toutes les victimes du cheval de Troie et espérons que les clés que nous avons libérées les aideront à récupérer leurs données « , ont-ils déclaré.

Fondamentalement, l’archive GitHub contient 5 clés de déchiffrement principales, plus de 750 000 clés de déchiffrement individuelles, des instructions sur la façon de les utiliser et un lien vers leur logiciel de déchiffrement.

Kaspersky a confirmé la validité de ces clés. L’éditeur met à jour son outil RakhniDecryptor pour faciliter la tâche aux victimes souhaitant récupérer leurs données. Contrairement à d’autres groupes de hackers spécialisés dans les ransomwares, l’équipe derrière Shade était principalement active en Ukraine et en Russie.

Catégories
Attaque informatique maze Ransomware Sécurité

LG et Xerox attaqués par Maze?

LG et Xerox, toutes nouvelles victimes pour Maze? Le groupe de cybercriminalité derrière le ransomware vient d’ajouter les deux multinationales à son emplacement vitrine. C’est sur la liste des entreprises qui « refusent de coopérer » et « tentent de camoufler l’attaque ». Quant à LG

LG et Xerox attaqués par Maze?

Le groupe de cybercriminalité derrière le ransomware vient d’ajouter les deux multinationales à son emplacement vitrine. C’est sur la liste des entreprises qui « refusent de coopérer » et « tentent de camoufler l’attaque ».

Concernant LG, une première archive (.rar) est publiée. Il contiendra env. 1% des données volées au groupe coréen. Le mot de passe le protégeant « sera livré ultérieurement ».

Le butin total comprendra, entre autres, 40 Go de code source pour les produits livrés à « une entreprise mondiale de télécommunications ».

Une capture d’écran suggère qu’il s’agit d’AT & T. Il existe un fichier KDZ qui correspond au format de firmware LG. Un autre écran affiche une liste de fichiers Python. La propriété du code est associée au domaine lgepartner.com, enregistré au nom de LG Electronics.

Les cas LG et Xerox l’illustrent: les créateurs de Maze se sont fait connaître pour leurs communications « offensives ».

Un de leurs sites Internet a actuellement une note datée du 22 juin 2020. Il prépare le rapport du « suicide » qui engage les entreprises qui tentent de récupérer elles-mêmes leurs données.

« Certains ont entamé le processus fin 2019 et sont toujours à la recherche d’une solution », peut-on lire. En moyenne, les deux fois et demi ont payé plus que la taille de notre première offre. « 

Et vivez quelques chiffres où que vous soyez:

Coût de récupération moyen: 60 millions de dollars
Amendes et poursuites coûtent de 18 à 37 millions de dollars
Après la divulgation des données, une perte moyenne de 50 à 60 millions de dollars pour les grandes entreprises. Certaines très grandes entreprises ont perdu entre 250 et 350 millions de dollars.

Catégories
Android Attaque COVID-19 informatique Ransomware Sécurité

Des chercheurs d’ESET découvrent un nouveau ransomware pour Android

Une nouvelle famille de ransomwares, que ESET a nommée CryCryptor, a ciblé les utilisateurs d’Android au Canada sous la forme d’une application de suivi COVID-19 officielle. ESET a mis fin à l’attaque.

Avec un tweet annonçant la découverte de ce qui semblait être un malware de banque Android, les chercheurs d’ESET ont découvert une campagne de ransomware ciblant les utilisateurs d’Android au Canada. En utilisant deux sites sur le thème de COVID-19, les militants ont encouragé leurs victimes à télécharger des ransomwares déguisés en un outil de suivi COVID-19 officiel. Les deux sites ont depuis été déconnectés. Les chercheurs d’ESET ont développé un outil de décryptage pour les victimes de CryCryptor grâce à une erreur d’application malveillante.LIEN

Catégories
Attaque COVID-19 informatique prix Ransomware Sécurité

L’UCSF verse 1,14 million de dollars aux pirates de NetWalker après des attaques de ransomwares

Après que la rançon NetWalker a verrouillé plusieurs serveurs de sa faculté de médecine, l’UCSF a payé la rançon pour décrypter les données et restaurer le fonctionnement des systèmes affectés.

29 juin 2020 – L’Université de Californie à San Francisco a récemment payé une demande de rançon de 1,14 million de dollars après que les acteurs de la menace NetWalker aient infecté plusieurs serveurs de sa School of Medicine avec une rançon, rapporté pour la première fois par Bloomberg.

Les acteurs de la menace NetWalker ont suivi la voie du tristement célèbre groupe de piratage de rançongiciels Maze. Les pirates prennent d’abord pied sur le réseau des victimes, se déplacent latéralement sur le réseau à travers des appareils vulnérables, puis volent des informations précieuses avant de lancer la charge utile du ransomware.

Les chercheurs ont récemment averti que NetWalker avait depuis étendu ses opérations à un modèle RaS (Ransomware-as-a-Service) pour s’associer à d’autres cybercriminels expérimentés et cibler le domaine des soins de santé dans le cadre de la pandémie de COVID-19. Le district de santé publique de Champaign-Urbana de l’Illinois a été victime du rançongiciel NetWalker en mars.LIEN

Catégories
Attaque informatique Ransomware Sécurité

Les PME et des ransomwares

Les ransomwares restent la cyber-menace la plus courante pour les PME, selon une étude Datto auprès de plus de 1 400 décideurs politiques gérant des systèmes informatiques dans les PME.

Les PME, une cible majeure pour les pirates
Généralement, les grandes entreprises ont des systèmes de sécurité plus avancés, tandis que les petites entreprises n’ont pas les ressources et les ressources pour sécuriser sérieusement leur infrastructure informatique. Et les pirates l’ont compris.

Le nombre d’attaques de rançongiciels contre les PME est en augmentation. Quatre-vingt-cinq pour cent des MSP ont signalé des attaques contre les PME en 2019, contre 79% des MSP qui en ont fait état en 2018.

De plus, il y a une réelle rupture de l’importance des ransomwares en tant que menace. 89% des MSP déclarent que les PME devraient être très préoccupées par la menace des ransomwares. Cependant, seulement 28% des MSP disent que les PME sont très préoccupées par la menace

Comment vous en protégez-vous?
Il existe de nombreuses recommandations pour réduire le risque d’attaques, telles que la formation des employés à risque de cybersécurité, la mise à jour des systèmes, le renforcement des politiques de mot de passe, etc. Cependant, et surtout en matière de sécurité informatique, il n’y a pas de risque nul.

Il existe trois scénarios de défense pour ce type d’attaque:

Atténuation des risques: cela implique la mise en œuvre de solutions pour réduire le risque d’attaques. L’un des contrôles les plus efficaces pour se protéger contre les accès non autorisés est l’authentification multifactorielle.
Préparation pour un processus de récupération: Il s’agit ici de préparer une attaque et de répondre après l’attaque. Surtout, ne payez pas la rançon car vous n’êtes pas sûr de récupérer vos données. Votre meilleure arme est de faire une sauvegarde régulière de vos données pour vous assurer de restaurer toutes vos données.
Détection et approche proactive: cette procédure consiste à détecter et à stopper l’attaque avant que les dégâts ne se produisent. Si vous disposez d’un système de détection des attaques de ransomwares, vous pouvez l’arrêter avant que vos données ne soient cryptées.LIEN

Catégories
informatique prix Sécurité

Sony paie les hackers qui « bug bounty « sa PlayStation!

Les primes proposées par la société japonaise concernent la PlayStation 4 et PlayStation Network. Comparés à Microsoft et Nintendo, ils sont assez généreux.

Comme vous le savez, Sony et sa PlayStation sont constamment la cible de pirates informatiques qui ont déjà réussi à pirater plusieurs fois leur compte de console ou de siphon sur le PlayStation Network. Pour réduire ce risque, la société a maintenant lancé un « bug bounty » sur la plateforme HackerOne, c’est-à-dire. un programme de récompense pour détecter les failles de sécurité. L’entreprise souligne que la sécurité est « un élément fondamental pour créer des expériences incroyables pour notre communauté ».

Ce programme couvre la PlayStation 4 et ses accessoires ainsi que les services en ligne fournis par PlayStation Network. Le montant des récompenses dépend du système analysé et des critiques. Cela commence à 100 $ pour une petite erreur dans les services en ligne. Pour une panne de console critique, vous pouvez obtenir plus de 50 000 $. Pour l’instant, les chercheurs participant à ce programme ont déjà trouvé 88 erreurs d’une valeur moyenne de 400 $.

En réalité, Sony est le dernier des grands joueurs de jeux vidéo à avoir créé un bug bounty, mais c’est le plus généreux. Microsoft en a lancé un pour la Xbox en janvier 2020, et Nintendo récompense les lacunes depuis quatre ans. Dans les deux cas, les récompenses peuvent aller jusqu’à 20 000 $ (sauf en cas de constat inhabituel).LIEN

Catégories
Attaque Etude Hakbit informatique Ransomware Sécurité

Les récents e-mails de Phishing ont propagé le ransomware Hakbit à l’aide de pièces jointes Microsoft Excel malveillantes et de suppressions GuLoader.

Une campagne de rançongiciels, appelée Hakbit, cible les employés de niveau intermédiaire en Autriche, en Suisse et en Allemagne avec des pièces jointes Excel malveillantes fournies par le célèbre fournisseur de messagerie GMX.

La campagne de spear-phishing est de faible volume et a jusqu’à présent ciblé les secteurs pharmaceutique, juridique, financier, des services aux entreprises, du commerce de détail et des soins de santé. Les campagnes à faible volume, parfois appelées attaques de spam en raquettes, utilisent plusieurs domaines pour envoyer des rafales relativement petites de faux e-mails pour contourner la réputation ou le filtrage du spam en fonction du volume.

« La plus grande quantité de messages que nous avons observés a été envoyée aux secteurs de la technologie de l’information, de la fabrication, de l’assurance et de la technologie », ont écrit les chercheurs de Proofpoint dans une analyse lundi. Ils ont noté que << la majorité des rôles ciblés dans les campagnes Hakbit concernent les clients, les coordonnées des individus étant divulguées publiquement sur les sites Web et / ou les publicités du cabinet. Ces rôles comprennent les avocats, les conseillers à la clientèle, les directeurs, les conseillers en assurance, les PDG. et chefs de projet. « 

Les e-mails de spear phishing originaux utilisent un leurre financier avec des lignes d’objet telles que « Fwd: Steuerrückzahlung » (Traduit: Tax Payment) et « Ihre Rechnung (Translated: Your Bill) ». Les e-mails sont fournis par un fournisseur de services de messagerie gratuit (GMX) qui dessert principalement une clientèle européenne.

«C’était une campagne à faible volume. GMX est largement utilisé et bien connu en Europe germanophone, il a donc confiance dans la reconnaissance des noms », a déclaré à Threatpost Sherrod DeGrippo, directeur principal de la recherche sur les menaces chez Proofpoint. « Il s’agit d’un service de messagerie gratuit, il est donc difficile de suivre et de menacer les joueurs susceptibles de générer plusieurs comptes. »

Les pièces jointes aux e-mails sont supposées être de fausses factures et remboursements de taxes. Une adresse e-mail prédit 1 & 1, une entreprise allemande de télécommunications et d’hébergement Web, indiquant à la victime que la pièce jointe à un e-mail, par exemple, est une facture.

Lorsque les pièces jointes Microsoft Excel sont ouvertes, elles demandent ensuite aux victimes d’activer les macros. Il télécharge et exécute à nouveau GuLoader. GuLoader est un compte-gouttes largement utilisé qui compromet les cibles et fournit des logiciels malveillants de deuxième étape. Il est constamment mis à jour tout au long de 2020 avec de nouvelles techniques d’évitement de sandbox sportif binaire, des fonctionnalités de randomisation de code, un cryptage URL de commande et de contrôle (C2) et un cryptage supplémentaire de la charge utile.

sous les projecteurs plus tôt en juin, après que les enquêteurs ont affirmé qu’une entreprise italienne avait vendu ce qu’elle décrit comme un outil de cryptage légitime – mais qu’il a en fait été utilisé comme package de malware pour GuLoader.

Dans cette campagne, lorsque GuLoader est en cours d’exécution, il télécharge puis exécute Hakbit, un utilitaire bien connu qui chiffre les fichiers à l’aide du chiffrement AES-256. Hakbit existe depuis au moins 2019 et a fait plusieurs victimes confirmées, y compris des utilisateurs à domicile et des entreprises aux États-Unis et en Europe, selon Emsisoft. On pense que Hakbit est lié au ransomware Thanos – Dans une analyse récente du ransomware Thanos, les chercheurs de Record Future ont évalué « en toute confiance » que les exemples de ransomware suivis pendant que Hakbit étaient construits à l’aide du constructeur de ransomware Thanos développé par Nosophoros (basé sur la codabilité, la réutilisation rigoureuse, l’extension du rançongiciel et le format des notes de rançon).

Lorsque Hakbit crypte les fichiers des victimes, il publie une note exigeant un paiement de 250 euros en bitcoin pour déverrouiller les fichiers cryptés et donne des instructions sur la façon de payer la rançon.

Ransomware HackBit. Au 16 juin 2020, les chercheurs ont déclaré n’avoir trouvé aucune transaction montrant le paiement d’une rançon pour le portefeuille Bitcoin. Threatpost a atteint Proofpoint sur le nombre d’entreprises ciblées par Hakbit – et sur le nombre de ces cibles qui ont été compromises.

Quoi qu’il en soit, les chercheurs affirment que la campagne provient uniquement de plusieurs campagnes de « ransomware » à faible volume et souvent « boutique » qui ont frappé les victimes depuis janvier 2020.

« Les chercheurs de Proofpoint ont récemment identifié un changement dans le paysage des menaces avec une campagne de rançongiciels Avaddon à grande échelle qui était conforme aux récents rapports des fournisseurs open source », ont-ils déclaré. « Hakbit illustre une campagne de ransomware centrée sur les personnes, adaptée à un public, un rôle, une organisation et une langue maternelle spécifiques à l’utilisateur. » LIEN

Catégories
Association Attaque Etude hyères informatique Ransomware Sécurité

Ransomware: points de vue contrastés des compagnies d’assurance sur une situation préoccupante

Beazley a observé une explosion de cyber-attaques de ransomwares l’année dernière. Hiscox estime que le nombre d’entreprises touchées par un incident de cybersécurité a diminué. Mais que les pertes induites ont considérablement augmenté.

Publié au début d’avril de l’année dernière, Beazley Breach Briefing 2020 a signalé une augmentation de 131% des attaques signalées contre les clients des assureurs l’année dernière. Le rapport s’appuie sur les données de 775 incidents de cybersécurité liés aux ransomwares. Et pour Beazley, c’est une véritable explosion: en 2018 et 2017, il n’avait enregistré qu’une augmentation de 20% et 9% respectivement pour ce type de cyberattaque. Et pour aggraver les choses, « les montants exigés par les cybercriminels ont également augmenté de façon exponentielle avec des demandes à sept ou huit chiffres, ce qui n’est pas inhabituel ».

Mais cette tendance à la hausse de la rançon n’est pas spécifique à l’année écoulée. Pour Katherine Keefe, chef des Services d’intervention en cas de violation de Beazley (BBR), «les opérations de ces délinquants sont couronnées de succès et elles ont été détournées». Et pour souligner qu’ils « sont également intéressés par des choses comme la taille de l’organisation et la façon dont ils se présentent sur leur propre site Web. En général, plus l’organisation est grande, plus la demande est grande ». rançon partagée: de l’ordre de dizaines de milliers de dollars pour les petites structures, jusqu’à plus de dix millions de dollars pour les grandes organisations.

Le rapport de Beazley ne dit pas combien de clients ont choisi de faire du chantage car l’éditeur ne divulgue pas ces informations. Mais lorsqu’un client choisit de payer, Beazley travaille avec Coveware. Début mai, ce dernier a déclaré un montant moyen par Incident de 111605 $ au premier trimestre 2020, 33% de plus qu’au dernier trimestre 2019.

Dans un article de blog, le consultant a attribué cette augmentation au fait que « les distributeurs de ransomware ont de plus en plus ciblé les grandes entreprises et ont réussi à les forcer à payer une rançon pour récupérer leurs données ». Si le constat apporte peu d’indicateurs rassurants sur les garanties de ces grandes entreprises, Coveware a assuré que « les gros versements de rançons constituent une minorité en volume ». Mais ils ont donc remonté la moyenne.

Sur la base du nombre d’échantillons soumis sur le service d’identification des rançongiciels ID Ransomware, Emsisoft a estimé début février que ce malware avait coûté un peu plus de 485 millions de dollars en France en 2019 – pour la rançon uniquement. Depuis Hexagon l’an dernier, plus de 8 700 échantillons ont été déposés à des fins d’identification. Compte tenu de l’interruption d’activité, Emsisoft a estimé le coût de ces attaques pour les organisations françaises à environ 3,3 milliards de dollars.

Hiscox, dans son récent rapport annuel sur la gestion des cyberrisques, montre que 18% des entreprises françaises qui ont été agressées tant paient une rançon. Ainsi, sur l’ensemble de l’échantillon, outre la France uniquement, « les pertes ont été presque trois fois plus importantes pour les entreprises victimes d’une attaque par rançongiciel que pour celles qui ont subi un [simple] malware » soit 821 000 € contre 436 000 € … et que la rançon ait été payée ou non. Mais en France, 19% des victimes de ransomwares affirment avoir pu récupérer leurs données « sans avoir à payer la rançon ». Cependant, cela suggère la possibilité que les autres se soient repliés devant leurs assaillants.

En fait, lorsque Hiscox parle de logiciels malveillants, il couvre également ceux qui peuvent être utilisés pour insérer des ransomwares. Pour l’assureur, « les chiffres montrent l’importance de la détection avant qu’un malware ne devienne un ransomware ». Et souligner que les attaques se déroulent souvent en plusieurs étapes, ce qui laisse du temps pour la détection. SentinelOne a ainsi observé une attaque impliquant TrickBot avant d’installer le rançongiciel Ryuk: entre les deux, deux semaines se sont écoulées. Pour Hiscox, c’est très simple: « Les entreprises disposant de bonnes capacités de détection peuvent arrêter une attaque pendant ce temps et ainsi subir des désagréments moins durables, avec un coût global moindre et moins d’impact sur les affaires ».LIEN