Les rançongiciels, ces cyberattaques qui capturent les données d’une entreprise et exigent une rançon contre leur restitution, sont de plus en plus populaires chez les hackers et causent un nombre de dégâts croissant. Face à cette menace, les solutions pour se protéger font florès. L’IA générative pourrait leur donner un coup de pouce.
L’accalmie aura été de courte durée. Après une baisse en 2022, due à la désorganisation des réseaux cybercriminels suite au déclenchement de la guerre en Ukraine, ainsi qu’à une mise à jour de Microsoft quant à la façon dont son logiciel traite les fichiers téléchargés à partir du Web, les attaques de rançongiciel sont reparties à la hausse en 2023.
Triste record: selon le rapport Crypto Crime 2024 de Chainalysis, spécialiste américain de la blockchain, les victimes ont versé plus de 1,1 milliard de dollars en cryptomonnaies aux cybercriminels l’année dernière, un montant encore jamais atteint. «La baisse importante de 2022 était encourageante. Mais l’augmentation de 94% l’année dernière, qui marque un record absolu pour les paiements de rançons, montre que la menace ne cesse de croître», affirme Jackie Koven, Head of Cyber Threat Intelligences chez Chainalysis.
Outre la hausse du nombre d’attaques, la lucrativité croissante du rançongiciel s’explique par une nouvelle stratégie mise en œuvre par les attaquants, mise en lumière dans le rapport de Chainalysis: la «chasse au gros gibier». Elle consiste, comme son nom l’indique, pour les pirates, à s’attaquer à de grosses entreprises afin de leur soutirer des rançons plus importantes. 75% des rançons payées en 2023 s’élevaient ainsi à un million de dollars ou plus. Dans son dernier rapport annuel sur les risques, l’entreprise américaine de cybersécurité CrowdStrike attribue notamment de nombreuses attaques de haut vol à Scattered Spider, un groupe de cybercriminels notamment impliqué dans les piratages de Caesars Entertainment et MGM Resorts.
Et pour les entreprises touchées, la facture ne s’arrête hélas pas à la rançon.
La grande majorité des victimes paie la rançon
«En plus des 1,1 milliard de dollars versés, les entreprises subissent des pertes considérables en raison des baisses de productivité et des coûts de remise en état liés aux attaques. Par exemple, même si aucune rançon n’a été payée, MGM Resorts estime avoir perdu plus de 100 millions de dollars à cause de l’attaque subie en 2023» explique Jackie Koven.
À l’automne dernier, 50 pays, dont les États-Unis, la France, la Suisse, le Mexique et le Royaume-Uni ont formé l’International Counter Ransomware Initiative, s’engageant à ne pas payer de rançon en cas de cyberattaque. De quoi dissuader les acteurs malveillants… Non? Hélas, comme le montre une récente enquête de Cohesity, une entreprise américaine des nouvelles technologies, menée auprès de plus de 900 décideurs IT à travers le monde, 80% des répondants déclarent avoir été victimes d’une attaque par ransomware dans les 6 mois qui ont précédé le sondage, et 90% d’entre eux disent avoir procédé au paiement d’une rançon pour restaurer leurs données, malgré la politique de non-paiement de leur organisation.
Plus des deux tiers des personnes interrogées (67%) se disent en outre prêts à payer plus de 3 millions de dollars pour récupérer leurs données et restaurer leurs opérations — voire 5 millions pour 35% d’entre eux. Face à de telles opportunités de gains, on comprend que les cybercriminels aient l’eau à la bouche et multiplient les attaques…
Pourquoi le rançongiciel cartonne auprès des cybercriminels
Un rançongiciel, ou ransomware en anglais, est un type d’attaque informatique qui bloque l’accès à l’appareil ou aux fichiers d’une victime et exige le paiement d’une rançon en échange du rétablissement de l’accès. Pour les cybercriminels, il cumule le double intérêt d’être très lucratif et relativement facile à lancer.
«Le rançongiciel constitue le type de cybercrime le plus rentable, et la barrière à l’entrée n’a jamais été aussi basse. En effet, l’écosystème s’est tellement développé qu’il est aujourd’hui très facile de mettre la main sur de la documentation expliquant comment débuter», détaille Allan Liska, spécialiste des rançongiciels chez Recorded Future, entreprise américaine de la cybersécurité.
Une véritable industrie du rançongiciel s’est ainsi déployée sur le Darknet, avec une division des tâches et un professionnalisme qui permettent aux cybercriminels en herbe de se lancer très facilement dans le grand bain. «Certains groupes se spécialisent dans l’ingénierie sociale (gagner la confiance d’un salarié de l’entreprise pour pénétrer dans le système), d’autres dans la vulnérabilité zero-day… Tout cela s’organise sur le Darknet, avec des groupes de cybercriminels qui publient de véritables fiches de poste demandant tel profil, telles compétences (à l’aise avec l’IA, les environnements SaaS, savoir développer en Python, etc.) et un salaire en bitcoin!» raconte Xavier Daspre, directeur technique France de Proofpoint, entreprise de cybersécurité américaine.
S’il arrive que des attaquants exploitent une faille logiciel leur permettant de pénétrer les lignes de défense des entreprises pour y implanter leur virus, l’écrasante majorité des attaques réussies s’appuient sur les défaillances humaines, selon l’expert. «Plus de 90% des attaques s’appuient sur l’élément humain: il s’agit, pour les attaquants, de manipuler un salarié de l’entreprise, ou d’un sous-traitant, pour qu’il exécute une action, clique sur un lien ou installe un logiciel qui va permettre aux hackers de mettre un pied dans l’entreprise, de prendre le contrôle de son système d’information et de crypter ses données à l’aide d’un rançongiciel.»
Une «clean room» pour se protéger
Face à cela, la défense s’organise. Les entreprises spécialisées dans le stockage et la gestion des données des entreprises, comme NetApp, Rubrik, Veeam ou Snowflake, ainsi que les géants du cloud (Amazon, Google, Microsoft) ont tous mis en place des mesures de sécurité spécifiques contre les rançongiciels, incluant des dispositifs pour les détecter et les neutraliser, et même dans certains cas des polices d’assurance offrant un dédommagement de plusieurs millions d’euros aux entreprises dans le cas où un rançongiciel parviendrait malgré tout à percer leurs défenses.
Pour Olivier Savornin, VP EMEA chez Cohesity, alors que toutes les entreprises vivent sous la menace d’une cyberattaque, peu nombreuses sont toutefois celles qui sont vraiment prêtes à y faire face. Selon lui, le meilleur moyen d’éviter de se retrouver contraint de payer est de mettre en place une «clean room».
«Il s’agit d’un bunker informatique au sein de l’entreprise, qui permet, de manière isolée du réseau, de maintenir les organes vitaux de la société, la production informatique élémentaire pour continuer à travailler même pendant l’attaque, tout en faisant l’analyse du rançongiciel qui est en cours. Quand une entreprise est victime d’une telle attaque, elle tend à restaurer ses données sans avoir vérifié qu’elles étaient propres et réinjecte ainsi le virus dans son système. Une clean room permet d’éviter à la fois cela et d’interrompre totalement les opérations, ce qui coûte rapidement une fortune.»
L’IA générative donne un coup de pouce aux défenseurs
Bonne nouvelle pour les entreprises (moins pour les cybercriminels): si les progrès de l’intelligence artificielle générative peuvent aider les hackers, par exemple en leur permettant d’écrire sans faute et avec une syntaxe impeccable dans une langue qui n’est pas la leur, donc de tromper plus facilement la vigilance de leurs victimes, cette innovation bénéficie davantage aux défenseurs, selon Xavier Daspre.
«Lorsqu’un cybercriminel essaie de se faire passer pour un collègue de sa victime afin d’endormir sa vigilance, les avancées récentes autour des grands modèles linguistiques permettent par exemple de faire de l’analyse de texte pour détecter que ce n’est pas du tout la grammaire que la personne utilise normalement, ou encore qu’il y a un degré d’urgence dans son message qu’il n’y a pas d’habitude, que le domaine de messagerie utilisé n’est pas en conformité avec DMARC et a été créé il y a 48h seulement, ce qui est suspect…
L’IA va corréler tous ces signaux pour donner ces informations soit à l’utilisateur, soit à l’administrateur de la messagerie en disant qu’elle a mis le mail en quarantaine par prudence.» Un coup de pouce suffisant pour endiguer la progression des cyberattaques en 2024?