Les entreprises peuvent être tentées de s’acquitter de la somme demandée par les ransomwares afin de sortir rapidement du cauchemar engendré par ce type d’attaque. Pourtant, il s’agit d’une décision des plus risquées. En payant la rançon, elles n’ont en effet aucune garantie de récupérer leurs données et risquent même de se mettre en infraction avec les nouvelles réglementations en place.
Bulletin d’octobre de l’OFAC sur les paiements exigés par les ransomwares
D’après un rapport de l'Office of Foreign Assets Control (OFAC) des États-Unis, la responsabilité des entreprises est désormais mise en jeu si elles paient une rançon demandée par un hacker affilié à un groupe figurant sur la liste des organisations soumises à sanction de l’OFAC.
Cette liste reprend quelques noms connus :
- - EvilCorp, le groupe de développeurs russes à l’origine du malware Dridex
- - Lazarus Group, une organisation appuyée par la Corée du Nord et à l’origine de l’attaque par WannaCry en 2017
- - Bluenoroff et Andariel, deux groupes eux aussi liés à WannaCry
- - Evgeniy Mikhailovich Bogachev, le développeur russe de CryptoLocker
- Un bulletin émis en octobre par l’OFAC a informé les entreprises que le fait de coopérer avec des personnes ou entités soumises à sanctions pouvait entraîner une violation de ses réglementations. Plus précisément, « L’OFAC peut infliger des amendes pour toute violation des sanctions en s’appuyant sur le principe de responsabilité stricte. Toute personne soumise à la juridiction des États-Unis pourra être tenue responsable de cette violation par un tribunal civil, même si elle ignorait ou n’avait aucune raison de savoir qu’elle s’engageait dans une transaction avec une personne sanctionnée par les lois et réglementations administrées par l’OFAC. »
Cet avis s’adresse notamment aux entreprises de cyberassurance, d’analyse numérique et de réponse aux incidents, à savoir les acteurs qui accompagnent le plus souvent les victimes de ransomwares, mais même les entreprises du secteur financier, qui offrent par exemple des services de dépôt et monétaires, peuvent être soumises à des amendes. L’OFAC conseille par ailleurs à ces entreprises de tenir compte de leurs obligations en lien avec le Financial Crimes Enforcement Network.
Une multiplication des attaques dévastatrice pour les entreprises du monde entier
Les attaques par ransomwares augmentent régulièrement depuis 2017. Rien qu’en 2020, elles ont coûté près de 144 millions de dollars aux entreprises du secteur public, de l’éducation et de la santé. 966 attaques ont ainsi été signalées dans ces secteurs. Ces entreprises ont joué un rôle essentiel en 2020 en raison de la pandémie de COVID-19, ce qui les a rendues particulièrement intéressantes aux yeux des hackers, et vulnérables face aux attaques.
La multiplication des attaques a également entraîné une hausse des demandes d’indemnisation en matière de cyberassurance. En Europe, au Moyen-Orient et en Afrique, les attaques par ransomware ont représenté la moitié des demandes d’indemnisation, contre seulement 13 % en 2016. D’après le Cyber Insurance Claims Report publié par Coalition, les ransomwares ont en effet représenté 41 % des demandes d’indemnisation au titre des polices de cyberassurance en 2020.
Jusqu’ici, les attaquants exigeaient simplement une rançon en échange du déchiffrement des données. Aujourd’hui, ils font preuve de davantage de créativité et menacent de publier les données dérobées à la victime et d’exposer les données personnelles de ses clients.
La cible des ransomwares a également changé. Les PME, auparavant moins recherchées que les grosses entreprises, car permettant des profits moindres, reviennent sur le devant de la scène. De plus, les MSP à qui elles confient la gestion de leurs systèmes informatiques sont désormais eux aussi toujours plus ciblés par les hackers.
D’après le rapport Global State of the Channel Ransomware publié en 2020 par Datto, 60 % des MSP ont signalé que les PME figurant parmi leurs clients avaient été attaquées par des ransomwares en 2020. 11 % ont même affirmé que leurs clients étaient victimes de plusieurs attaques par jour. Ce sont les MSP européens qui ont rapporté le plus grand nombre d’attaques (85 %), suivis par les MSP basés aux États-Unis (77 %).
Toujours d’après Datto, les emails de phishing constituaient la principale cause des attaques par ransomware signalées par les MSP. Les mauvaises habitudes des utilisateurs et l’absence de formation à la cybersécurité représentaient respectivement 27 et 26 % des attaques. Selon les MSP, le montant moyen des rançons était de 5 600 $ en 2020, soit un peu moins qu’en 2019. Le coût des temps d’arrêt a toutefois suivi une courbe exponentielle, passant de 141 000 $ en 2019 à 274 000 $ en 2020.
Le paiement d’une rançon n’est pas sans risques
Que le hacker ou l’organisation cybercriminelle à l’origine de l’attaque soit soumis à sanctions ou non, le paiement d’une rançon pose un risque non négligeable. D’après le FBI, de nombreuses entreprises qui s’acquittent d’une rançon ne récupèrent pas pour autant l’accès à leurs données. Dans certains cas, les outils de déchiffrement fournis par les hackers sont peu fiables, voire ne fonctionnent pas du tout.
Par ailleurs, et c’est peut-être là le plus important, le paiement d’une rançon encourage les cybercriminels à s’attaquer à de nouvelles entreprises, mais aussi à tourmenter à nouveau d’anciennes victimes. Plus une attaque réussit, plus le hacker risque de revenir essayer de soutirer davantage d’argent à l’entreprise. Si vous êtes victime d’une attaque, signalez-la immédiatement. Voici quelques ressources qui pourront vous aider :
- La liste d’Europol vous dirigera vers les autorités compétentes en matière de cybercriminalité dans votre pays.
- Aux États-Unis, vous pouvez contacter l’Internet Crime Complaint Center du FBI, ainsi que les autorités locales.
- Consultez la base MITRE pour une liste complète des organisations cybercriminelles actives.
