+255 % d’attaques rançongiciels en 2020 d’après l’ANSSI

La tendance à la hausse des attaques par rançongiciel à l’encontre d’organisations publiques et privées, identifiée depuis 2018, s’est à nouveau confirmée en 2020, tant à l’échelle internationale que nationale. En 2020, l’ANSSI note ainsi une augmentation de 255 % des signalements d’attaques par rançongiciel dans son périmètre par rapport à 2019.

En matière de victimologie, aucun secteur d’activité ni zone géographique n’est épargné. Cependant, il est observé une hausse des attaques à l’encontre des collectivités locales, du secteur de l’éducation, du secteur de la santé et d’entreprises de services numériques (ESN).

En outre, il est parfois observé une collaboration entre opérateurs de différents rançongiciels. La menace qu’ils représentent serait d’autant plus importante si la concurrence censée régner entre les différents développeurs et opérateurs de rançongiciels laissait place à une émulation.

L’année 2020 s’est par ailleurs illustrée par trois tendances :

• le Big Game Hunting : parmi les multiples attaques observées, l’ANSSI et ses partenaires constatent qu’un nombre accru de groupes cybercriminels favorisent le ciblage d’entreprises et institutions particulières dans leurs attaques par rançongiciel ;
• le ransomware-as-a-service(RaaS) : de plus en plus de rançongiciels sont disponibles sur les marchés cyber-criminels par un système d’affiliation et sont utilisés à la fois de façon ciblée et lors de campagnes massives en fonction de la volonté et des capacités des groupes cybercriminels souscrivant au service. La majorité des signalements remontés à l’ANSSI en 2020 ont concerné des rançongiciels fonctionnant selon le modèle économique du RaaS ;
• la double extorsion : existant depuis novembre 2019, cette tendance consiste à faire pression sur la victime en exfiltrant ses données et en la menaçant de les publier sur un site Internet, généralement en .onion, afin qu’elle paye la rançon. Il est ainsi de plus en plus fréquent qu’un chiffrement soit précédé d’une exfiltration de données.

Le montant de la rançon à destination d’une entité victime est variable aussi bien en fonction du rançongiciel que de la victime. Par exemple, le montant d’une rançon DarkSide peut osciller entre 200 000 et 2 millions de dollars, tandis qu’une rançon WastedLocker peut aller de 500 000 dollars à 10 millions de dollars.

Les opérateurs de rançongiciels, en particulier ceux qui réalisent des attaques de type Big Game Hunting, sont souvent ouverts à la négociation du montant de la rançon. Certains forcent même à la négociation. D’autres opérateurs en viennent même à appeler leurs victimes, leurs clients et parfois leurs prestataires, ou encore à les menacer de tenir au courant des journalistes de leur compromission.

De plus, afin de faire davantage pression sur les victimes, les opérateurs de rançongiciel peuvent aussi menacer de communiquer une partie des informations dérobées aux médias.