Journal Officiel
Retour dernier bulletin quotidien
Envoyer à un ami
Version imprimable
Partager
En 2020, l’ANSSI note ainsi une augmentation de 255% des signalements d’attaque par rançongiciel dans son périmètre par rapport à 2019.
En outre, l’année 2020 s’est illustrée par trois tendances :
• le Big Game Hunting : parmi les multiples attaques observées, l’ANSSI et ses partenaires constatent qu’un nombre accru de groupes cybercriminels favorisent le ciblage d’entreprises et institutions particulières dans leurs attaques par rançongiciel;
• le ransomware-as-a-service (RaaS) : de plus en plus de rançongiciels sont disponibles sur les marchés cybercriminels par un système d’affiliation et sont utilisés à la fois de façon ciblée et lors de campagnes massives en fonction de la volonté et des capacités des groupes cybercriminels souscrivant au service. La majorité des signalement remontés à l’ANSSI en 2020 ont concerné des rançongiciels fonctionnant selon le modèle économique du RaaS;
• la double extorsion : existant depuis novembre 2019, cette tendance consiste à faire pression sur la victime en exfiltrant ses données et en la menaçant de les publier sur un site Internet, généralement en .onion, afin qu’elle paye la rançon. Il est ainsi de plus en plus fréquent qu’un chiffrement soit précédé d’une exfiltration de données.
-------------------------
A l’exception de rançongiciels utilisés exclusivement par un unique groupe cybercriminel, tels que le rançongiciel Clop par TA505 ou le rançongiciel WastedLocker par Evil Corp, les attaques par rançongiciel respectent une chaîne d’infection relativement similaire, caractérisée par l’usage d’outils légitimes de post-exploitation (Cobalt Strike, Mimikatz, etc.). Il est néanmoins observé une diversification, voire une sophistication, des vecteurs d’infection utilisés.
Cette chaîne d’infection peut être facilitée par le recours à l’écosystème cybercriminel, dont l’industrialisation permet aux opérateurs de rançongiciel de sous-traiter une grande partie des ressources et outils nécessaires à la réalisation de leurs opérations.
En outre, il est parfois observé une collaboration entre opérateurs de différents rançongiciels. La menace qu’ils représentent serait d’autant plus importante si la concurrence censée régner entre les différents développeurs et opérateurs de rançongiciels laissait place à une émulation.
En matière de victimologie, aucun secteur d’activité ni zone géographique n’est épargné.
Cependant, il est observé une hausse des attaques à l’encontre des collectivités locales, du secteur de l’éducation, du secteur de la santé et d’entreprises de services numériques.
Pour les entités victimes, les coûts et dégâts causés sont variés (pertes financières, pertes d’exploitation, atteinte à l’image, perte de clients, perte de données, etc.) et contribuent malheureusement parfois au paiement de la rançon. Ce paiement est parfois incité par des assurances cyber souscrites par les victimes mais aussi favorisé par le fait que le montant de la rançon est souvent inférieur aux coûts de remédiation. L’évolution des législations américaines et européennes en matière de lutte contre le blanchiment de capitaux et financement du terrorisme pourrait agir comme un frein à cette incitation en engageant la responsabilité de toute personne physique ou morale facilitant le paiement de la rançon.
La rentabilité des attaques par rançongiciel, bien supérieure à leur coût de mise en œuvre, explique la prolifération des groupes d’attaquants et laisse présager une constance, si ce n’est une hausse, de la menace liée aux rançongiciels dans les années à venir.
ANSSI >> Rapport complet
En outre, l’année 2020 s’est illustrée par trois tendances :
• le Big Game Hunting : parmi les multiples attaques observées, l’ANSSI et ses partenaires constatent qu’un nombre accru de groupes cybercriminels favorisent le ciblage d’entreprises et institutions particulières dans leurs attaques par rançongiciel;
• le ransomware-as-a-service (RaaS) : de plus en plus de rançongiciels sont disponibles sur les marchés cybercriminels par un système d’affiliation et sont utilisés à la fois de façon ciblée et lors de campagnes massives en fonction de la volonté et des capacités des groupes cybercriminels souscrivant au service. La majorité des signalement remontés à l’ANSSI en 2020 ont concerné des rançongiciels fonctionnant selon le modèle économique du RaaS;
• la double extorsion : existant depuis novembre 2019, cette tendance consiste à faire pression sur la victime en exfiltrant ses données et en la menaçant de les publier sur un site Internet, généralement en .onion, afin qu’elle paye la rançon. Il est ainsi de plus en plus fréquent qu’un chiffrement soit précédé d’une exfiltration de données.
-------------------------
A l’exception de rançongiciels utilisés exclusivement par un unique groupe cybercriminel, tels que le rançongiciel Clop par TA505 ou le rançongiciel WastedLocker par Evil Corp, les attaques par rançongiciel respectent une chaîne d’infection relativement similaire, caractérisée par l’usage d’outils légitimes de post-exploitation (Cobalt Strike, Mimikatz, etc.). Il est néanmoins observé une diversification, voire une sophistication, des vecteurs d’infection utilisés.
Cette chaîne d’infection peut être facilitée par le recours à l’écosystème cybercriminel, dont l’industrialisation permet aux opérateurs de rançongiciel de sous-traiter une grande partie des ressources et outils nécessaires à la réalisation de leurs opérations.
En outre, il est parfois observé une collaboration entre opérateurs de différents rançongiciels. La menace qu’ils représentent serait d’autant plus importante si la concurrence censée régner entre les différents développeurs et opérateurs de rançongiciels laissait place à une émulation.
En matière de victimologie, aucun secteur d’activité ni zone géographique n’est épargné.
Cependant, il est observé une hausse des attaques à l’encontre des collectivités locales, du secteur de l’éducation, du secteur de la santé et d’entreprises de services numériques.
Pour les entités victimes, les coûts et dégâts causés sont variés (pertes financières, pertes d’exploitation, atteinte à l’image, perte de clients, perte de données, etc.) et contribuent malheureusement parfois au paiement de la rançon. Ce paiement est parfois incité par des assurances cyber souscrites par les victimes mais aussi favorisé par le fait que le montant de la rançon est souvent inférieur aux coûts de remédiation. L’évolution des législations américaines et européennes en matière de lutte contre le blanchiment de capitaux et financement du terrorisme pourrait agir comme un frein à cette incitation en engageant la responsabilité de toute personne physique ou morale facilitant le paiement de la rançon.
La rentabilité des attaques par rançongiciel, bien supérieure à leur coût de mise en œuvre, explique la prolifération des groupes d’attaquants et laisse présager une constance, si ce n’est une hausse, de la menace liée aux rançongiciels dans les années à venir.
ANSSI >> Rapport complet
Dans la même rubrique
-
Actu - Comme l'IA révolutionne les centres d'opérations de sécurité (SOC)
-
Actu - Plan France Très haut Débit, défi budgétaire permanent
-
Actu - Nouvelles technologies de l’information : l’accès se généralise, l’usage plafonne
-
Actu - Fermeture du Cuivre : les réponses à toutes vos questions !
-
RM - Prise en charge des travaux de raccordement à la fibre pour les habitations isolées en zone rurale
Déconnexion
