Cyberattaques : les paiements de rançon ont chuté de 40% en 2022, d'après une étude

Dans son Crypto Crime Report 2022, le spécialiste du suivi des transactions en bitcoin Chainalysis constate une baisse drastique du montant des rançons payées aux cybercriminels. Cette tendance serait liée non pas à une diminution significative du nombre de cyberattaques par rançongiciel réussies, mais à une augmentation des refus de payer. Cette prise de conscience de victimes pourrait enfin ralentir le cercle vicieux qui alimente l'impressionnante croissance de la cybercriminalité depuis quatre ans.
François Manens
Chainalysis explique avant tout la baisse des paiements de rançons par un changement de mentalité des victimes.
Chainalysis explique avant tout la baisse des paiements de rançons par un changement de mentalité des victimes. (Crédits : CCO/PxHere)

De 765,6 millions de dollars à 456,8 millions de dollars : les paiements de rançons aux cybercriminels se sont effondrés de 40% en 2022 par rapport aux deux années précédentes. Cette conclusion du rapport Crypto Crime de Chainalysis, une des entreprises de référence dans le suivi des transactions de cryptomonnaies sur la blockchain [les paiements de rançons se font généralement en bitcoin, ndlr], donne enfin de l'espoir après des années d'augmentation. Il étudie également la tendance générale de ces logiciels malveillants, supprimés contre une rançon, observée l'an passé.

L'entreprise rappelle que les véritables montants payés par les victimes sont « bien supérieurs » à ceux qu'elle trouve, car il est pratiquement impossible de tracer tous les comptes utilisés par les cybercriminels, mais la tendance est bien là. Les experts expliquent cette chute de 40% non pas par une baisse significative du nombre de cyberattaques réussies, mais bien un changement global dans la gestion de crise par les victimes, qui refusent désormais de payer.

Lire aussiCyberattaques : pourquoi interdire le paiement des rançons est une fausse bonne idée

Fin du cercle vicieux ?

Publiquement, tous les experts de cybersécurité s'accordent : en cas d'attaque rançongiciel, il ne faut jamais payer la rançon demandée, même si les cybercriminels promettent qu'ils répareront les dégâts qu'ils viennent de causer. Mais en pratique, les entreprises cèdent, dans l'espoir de récupérer des données autrement perdues par manque de sauvegarde, car leur survie est en jeu. Ces paiements, qui s'élèvent à plusieurs dizaines de milliers d'euros et parfois même plusieurs millions d'euros, alimentent un cercle vicieux : les cybercriminels réinvestissent une partie de leur butin pour obtenir de nouveaux outils et développer de nouvelles méthodes d'attaque, ce qui leur permet de faire plus de victimes, et donc d'amasser un butin plus important, et ainsi de suite.

A cause de ce cercle vicieux, les attaquants parviennent à innover au même rythme que les défenseurs, et les outils de détection sont rapidement dépassés. La baisse du paiements des rançons observée par Chainalysis pourrait donc contrecarrer cette tendance, d'autant plus qu'en parallèle, les forces de l'ordre redoublent d'effort pour arrêter les cybercriminels. Même si démanteler leurs réseaux s'avère très difficile.

Succès des sauvegardes, alternatives au paiement

Pour relancer son système d'information, la victime fait face à deux choix : payer la rançon ou reconstruire à partir de ses sauvegardes (si elle en a). Cette seconde option peut s'avérer autant voire plus coûteuse que la première et prend du temps (plusieurs semaines voire mois), mais elle offre bien plus de garanties que le paiement de la rançon. Les experts rappellent régulièrement que les décrypteurs fournis par les cybercriminels contre le paiement de la rançon peuvent être défaillants et même empirer la situation dans le pire des cas. Autrement dit, quoiqu'il arrive, la victime devra faire réécrire l'outil par une entreprise spécialisée, en plus d'analyser de fonds en comble son système d'information pour s'assurer que les attaquants n'y ont plus accès.

La baisse du paiement des rançons signifie donc que ce discours a gagné en popularité, mais aussi que les entreprises sont de mieux en mieux préparées. Selon le rapport de Chainalysis, la maturation du secteur de l'assurance cyber n'y est pas pour rien, puisque les assureurs exigent la mise en place de certaines mesures avant de couvrir leurs clients. Par exemple, ils insistent sur la mise en place de systèmes de sauvegarde solides, qui permettront aux victimes de ne pas repartir de zéro en cas d'attaque par rançongiciel réussie. Cette mesure s'accompagne aussi de l'obligation d'utiliser des logiciels de prévention dans l'état de l'art du marché, ou encore des procédures d'authentification à plusieurs facteurs pour prévenir les accès illicites au système.

Résultat : les victimes refusent de payer car elles peuvent se le permettre. D'après les données de Coveware, une entreprise spécialisée dans la réponse aux attaques par rançongiciels, elles ne cèdent au chantage des cybercriminels que dans 41% des cas, contre 76% en 2019 et 50% en 2021. Si la méthode de la carotte semble fonctionner, celle du fouet pourrait aussi expliquer en partie la tendance baissière : fin 2021, l'Ofac (Office of Foreign Assets Control), une sous-branche du Trésor américain, a annoncé que le paiement de rançons à certains gangs -notamment ceux connectés au renseignement russe- serait désormais assimilé à du financement de terrorisme. Autrement dit, les grands groupes américains s'exposent à des conséquences légales s'ils décident de payer, même si peu de cas concrets ont été rendus publics.

Les rançongiciels ont-ils atteint un plateau ?

Chainalysis explique avant tout la baisse des paiements de rançons par un changement de mentalité des victimes, mais en parallèle, l'écosystème rançongiciel semble doucement atteindre un plateau après quatre années de croissance impressionnante. Selon l'analyste de Recorded Future Allan Luska, cité dans le rapport, le volume de cyberattaques réussies aurait même légèrement baissé en 2022. Pour arriver à cette estimation, le chercheur collecte les données des blogs sur lesquels les organisations cybercriminelles revendiquent leurs attaques et menacent de publier les données volées dans l'espoir que les victimes paient. Résultat : entre 2021 et 2022, le nombre de revendications a baissé de 2.865 à 2.566, soit 10,4%. Cependant, cet indicateur reste imparfait, puisque les cybercriminels ne font en général pas de publication lorsque la victime paie rapidement.

De plus, si les experts constatent qu'en façade, le nombre de « marques » ou « souches » de rançongiciel explosent, elles deviennent moins consistantes. En 2022, les marques restaient actives en moyenne 70 jours, deux fois moins qu'en 2021, et presque quatre fois moins qu'en 2020 ! Parmi les gangs les plus actifs de la fin d'année 2022, seul LockBit -responsable entre autres de l'attaque contre l'hôpital de Corbeilles-Essonne- était un nom déjà réputé auparavant.

Autrement dit, l'augmentation du nombre de souches de rançongiciel différentes ne reflète pas forcément une hausse du nombre d'attaques. Appelés « affiliés » dans le jargon, les individus qui lancent les attaques se servent de plusieurs rançongiciels, fournis par différents « opérateurs », le nom donné aux développeurs des logiciels malveillants. Les analystes comparent la situation des affiliés à ceux des chauffeurs de VTC. Un même affilié peut lancer des attaques avec LockBit, Hive ou BlackCat, comme un chauffeur peut conduire pour Uber, Lyft et Free Now. Ce n'est pas pour autant que le nombre d'attaque aura augmenté, puisqu'elles restent lancées par un même individu.

« Les données suggèrent qu'il vaut mieux penser l'écosystème rançongiciel non pas comme une collection de souches distinctes mais comme un petit groupe de hackers qui tourne régulièrement entre différentes marques. La fluidité avec laquelle les affiliés passent d'une marque à l'autre fait apparaître le secteur comme plus grand qu'il ne l'est », est-il ainsi écrit dans le rapport. Bill Siegel, le co-fondateur de Coveware estime même à seulement « quelques centaines » le nombre d'individus impliqués dans les attaques par rançongiciel.

Tant que les victimes paieront, la prise de risque de cette centaine de cybercriminels reste largement rentable. Mais si la tendance à la baisse observée par Chainalysis se poursuit dans les prochaines années, ils pourraient se détourner du rançongiciel au profit d'autres activités plus lucratives.

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaire 1
à écrit le 19/01/2023 à 16:14
Signaler
On nous présente des chiffres sur des références aussi fausses que les chiffres ! On peut allez loin dans... le "progrès" ! ;-)

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.