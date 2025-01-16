À l’approche de la fin de l’année 2024, les ransomwares restent une menace dominante et évolutive pour toute entreprise. Les cybercriminels sont plus sophistiqués et créatifs que jamais. Ils intègrent les nouvelles technologies, tirent parti des tensions géopolitiques et utilisent même les réglementations juridiques à leur avantage.
Ce qui semblait autrefois être une simple perturbation relativement simple à gérer s’est transformée en un défi mondial à plusieurs niveaux qui continue de menacer les entreprises et les gouvernements.
Examinons maintenant la situation actuelle des ransomwares. Nous nous concentrerons sur la façon dont les cybercriminels changent de tactiques, s’appuient sur la technologie de l’IA, exploitent les frameworks juridiques et plus encore.
L’une des évolutions les plus significatives dans le paysage des ransomwares a été l’utilisation de l’intelligence artificielle (IA) pour renforcer les attaques de phishing et d’ingénierie sociale. Historiquement, les e-mails de phishing contenaient souvent des signes évidents de fraude : mots mal orthographiés, mauvaise grammaire et messages génériques. Cependant, les nouveaux outils d’IA générative peuvent créer des e-mails hautement personnalisés et d’apparence professionnelle, ce qui a radicalement changé la donne. Cela explique probablement pourquoi le nombre et le taux de réussite des attaques de phishing ont augmenté, car les campagnes de phishing sont plus faciles à générer et plus convaincantes que jamais.
L’IA permet aux acteurs de la menace d’exploiter de grandes quantités de données pour créer des e-mails convaincants ciblant des personnes ou des entreprises spécifiques. Ces e-mails peuvent contenir des informations contextuelles qui les font paraître légitimes, ce qui augmente considérablement les chances de succès. La capacité à mener des attaques aussi précises explique pourquoi les ransomwares ont été particulièrement dévastateurs pour des secteurs comme celui de la santé, où toute perturbation peut avoir des conséquences mortelles.
En outre, la technologie deepfake générée par l’IA a commencé à jouer un rôle dans l’ingénierie sociale. Les cybercriminels peuvent désormais créer des imitations audio et vidéo de dirigeants d’entreprise pour inciter les employés à transférer de l’argent ou à révéler des informations sensibles. Cela a rendu la détection des fraudes beaucoup plus difficile et les entreprises ont de plus en plus de mal à se protéger contre de telles attaques.
Les groupes de ransomware ne se contentent pas de recourir à des moyens techniques pour pousser les victimes à payer des rançons, ils manipulent également les réglementations juridiques à leur avantage. L’un des événements les plus marquants de 2024 a été l’instrumentalisation des règles de divulgation, en particulier celles émises par la Securities and Exchange Commission (SEC) des États-Unis.
Une affaire récente a fait grand bruit : le groupe de ransomware BlackCat/ALPHV a déposé une plainte officielle auprès de la SEC contre un fournisseur de services de prêt numérique. Après avoir exfiltré les fichiers de l’entreprise, le groupe aurait signalé à la SEC que le fournisseur n’avait pas respecté les réglementations exigeant que les organisations divulguent tout incident de cybersécurité dans un délai de quatre jours ouvrés. Cette tactique « légale » supplémentaire avait pour but de faire pression sur les victimes pour qu’elles paient la rançon afin d’éviter des sanctions financières ou des dommages à leur réputation.
Cet incident inquiétant montre que les groupes de ransomware sont prêts à utiliser n’importe quoi, même les réglementations gouvernementales pour parvenir à leurs fins. « Les acteurs de la menace utilisent les réglementations pour exercer davantage de pression sur les victimes. C’est une tendance à suivre », a déclaré Ifigeneia Lella, experte en cybersécurité auprès de l’Agence européenne de cybersécurité (ENISA). C’est un rappel glaçant que les cadres juridiques, bien qu’ils soient destinés à protéger le public et à promouvoir la transparence, peuvent être manipulés par de mauvais acteurs pour servir leurs propres objectifs malveillants.
Selon le rapport ENISA Threat Landscape 2024, les cybercriminels ont eu de plus en plus recours aux techniques de « living-off-the-land » (LOTL) au cours de l’année écoulée. Les attaques LOTL impliquent l’utilisation d’outils et de logiciels qui existent déjà dans le système de la victime, ce qui rend plus difficile pour les équipes de sécurité la détection des activités malveillantes. Au lieu de tirer parti de logiciels malveillants externes qui peuvent être repérés par les logiciels antivirus, les attaquants utilisent des outils administratifs légitimes tels que PowerShell ou Windows Management Instrumentation (WMI) pour exécuter leurs attaques.
Par exemple, PLAY, un groupe de ransomware auteur de nombreuses extorsions, utilise souvent des outils standard tels que Cobalt Strike, Empire et Mimikatz pour la découverte et le mouvement latéral au sein du réseau d’une cible. En évitant d’introduire de nouveaux logiciels suspects, les attaquants peuvent échapper plus longtemps à la détection, souvent jusqu’à ce qu’il soit trop tard pour que la victime puisse réagir efficacement. Cette évolution vers les techniques LOTL représente un défi permanent pour les professionnels de la cybersécurité, car les solutions antivirus traditionnelles deviennent moins efficaces contre ces attaques subtiles.
Outre les avancées technologiques, les ransomwares sont de plus en plus utilisés comme une arme d’influence géopolitique et d’hacktivisme. Les cybercriminels ne sont plus seulement motivés par l’appât du gain. Certains utilisent des logiciels malveillants à des fins politiques, pour déstabiliser des gouvernements ou semer le chaos dans certaines régions.
Le rapport de l’ENISA souligne la convergence entre les tensions géopolitiques et les attaques par ransomware. Par exemple, pendant le conflit entre la Russie et l’Ukraine, des groupes de ransomware ont ciblé des infrastructures critiques en Ukraine et dans d’autres pays alliés de l’Ukraine. Ces attaques n’étaient pas nécessairement motivées par des raisons financières, mais plutôt politiques. L’objectif était de perturber les opérations du pays ou de paralyser des secteurs clés comme l’énergie, la santé et les transports.
Des groupes d’hacktivistes s’associent également à des gangs de ransomwares pour promouvoir leurs propres objectifs idéologiques. Par exemple, les attaques contre les secteurs de l’administration publique et des transports ont augmenté, souvent liées à des événements politiques spécifiques ou à des mouvements mondiaux. Alors que la cybercriminalité devient de plus en plus politisée, les entreprises et les gouvernements doivent reconnaître que le ransomware n’est plus seulement une menace financière, mais aussi un outil de perturbation sur la scène mondiale. Et compte tenu des tensions géopolitiques croissantes à travers le monde, ce type d’attaques est de plus en plus courant.
Malgré les efforts mondiaux pour freiner les ransomwares, le nombre d’attaques continue d’augmenter. Selon le Ransomware Tracker, le nombre de victimes publiées sur les sites d’extorsion est passé de 328 en avril à 450 en mai, l’une des hausses parmi les plus importantes au cours de ces dernières années.
Les secteurs tels que la santé, l’administration publique, les transports et la finance figurent parmi les plus ciblés. Ces secteurs sont particulièrement vulnérables en raison de leur dépendance à l’infrastructure numérique et des graves conséquences du temps d’arrêt. Par exemple, le Département américain de la Santé et des Services sociaux a signalé une augmentation de 256 % des violations liées au piratage dans le secteur de la santé au cours des cinq dernières années, soulignant la vulnérabilité accrue du secteur.
L’impact financier des ransomwares continue de croître en 2024, les coûts allant bien au-delà du simple paiement des rançons. Selon un rapport publié par un secteur économique, le coût moyen de récupération pour les victimes de ransomware dans les gouvernements étatiques et locaux est de 2,73 millions de dollars américains, soit plus du double du montant enregistré en 2023. Ces coûts comprennent non seulement le paiement des rançons, mais aussi les dépenses liées aux temps d’arrêt, à la perte de données, à l’interruption des opérations et à l’atteinte à la réputation.
Les demandes de rançon elles-mêmes montent en flèche. Selon le rapport, la demande de rançon en moyenne pour les gouvernements est maintenant de 3,3 millions de dollars, certaines demandes dépassant 5 millions de dollars. À l’échelle mondiale, des secteurs tels que la santé, l’énergie et l’éducation connaissent des tendances similaires. Pire encore, les demandes de rançon élevées et les coûts de reprise importants peuvent paralyser ou même faire disparaître les petites entreprises.
En 2024, le paysage des ransomwares est de plus en plus complexe. Avec les campagnes d’hameçonnage pilotées par l’IA, les techniques de type LOTL, l’exploitation des frameworks et l’émergence des tensions géopolitiques, les enjeux n’ont jamais été aussi élevés. Cependant, les avancées en matière d’outils de cybersécurité basée sur l’IA et une sensibilisation croissante à ces tactiques en évolution permettent d’améliorer les défenses.
Alors que les cybercriminels s’adaptent et innovent, les professionnels et les entreprises de la cybersécurité doivent eux aussi s’adapter. Des mesures proactives telles que la gestion des vulnérabilités, l’adoption de stratégies de sauvegarde robustes et l’investissement dans les capacités de réponse aux incidents sont essentielles pour lutter contre cette menace omniprésente. Si les ransomwares continuent d’évoluer, il en va de même pour les outils et les stratégies utilisés pour les combattre.