Rapport KSN: le ransomware entre 2016 et 2017

Ce rapport a été rédigé sur la base de données anonymisées traitées par Kaspersky Security Network (KSN). Les chiffres reposent d’une part sur le nombre d’utilisateurs uniques de produits de Kaspersky Lab qui ont activé l’option KSN et qui ont été confronté au moins une fois au cours d’une période donnée à un ransomware et d’autre part, sur une étude de la menace des ransomwares réalisée par les experts de Kaspersky Lab.

Ce rapport aborde l’évolution de la menace entre avril 2016 et mars 2017 et la compare à la période comprise entre avril 2015 et mars 2016.

Survol de l’évolution du ransomware en un an

Emergence du ransomware en tant que service

En mai 2016, Kaspersky Lab découvrait le ransomware Petya qui non seulement chiffre les données stockées sur un ordinateur, mais écrase également le secteur d’amorçage (MBR), ce qui empêche le démarrage du système d’exploitation.

Ce malware est un bon exemple du modèle du ransomware en tant que service, à savoir quand les auteurs de ransomware offrent leur produit malveillant « en location ». Le malware est ainsi diffusé par plusieurs distributeurs et les auteurs reçoivent un pourcentage des bénéfices. Afin de garantir la réception de cette commission, les auteurs de Petya ont prévu certains « mécanismes de protection » dans le malware qui empêchent l’utilisation non autorisée des exemplaires de Petya.

S’il est vrai que le ransomware en tant que service ne constitue pas une nouveauté, il faut bien reconnaître que ce modèle de distribution poursuit son développement et un nombre croissant d’auteurs de ransomwares propose leurs produits malveillants sous cette forme. Ce concept est très attrayant pour les criminels qui ne disposent pas des connaissances, des ressources ou de l’envie nécessaires pour développer leur propre malware.

Parmi les exemples frappant de ransomwares apparus en 2016 qui ont utilisé ce modèle, citons Petya/Mischa et Shark, rebaptisé Atom ultérieurement.

Croissance des attaques ciblées

Au début de l’année 2017, les chercheurs de Kaspersky Lab ont découvert une tendance émergente dangereuse : de plus en plus de cybercriminels abandonnent les attaques contre les particuliers au profit d’attaques de ransomware ciblées contre des entreprises.

Ces attaques visent principalement des organisations financières à travers le monde. Les experts de Kaspersky Lab ont vu des cas où la rançon à payer s’élève à un demi million de dollars américains.

La tendance est alarmante car les exploitants de ransomwares se sont mis en quête de nouvelles victimes plus rentables. Il existe bien d’autres cibles potentielles pour des attaques de ransomware et celles-ci entraînent des conséquences toujours plus désastreuses.

L’analyse présentée dans ce rapport vise à évaluer l’ampleur du problème et à mettre en lumière les raisons qui pourraient expliquer ces nouveaux comportements dans le développement du ransomware à l’international.

Chiffres principaux

• Le nombre total d’utilisateurs confrontés à des ransomwares entre avril 2016 et mars 2017 a augmenté de 11,4 % par rapport aux 12 mois précédents (avril 2015 à mars 2016) et passe de 2 315 931 d’utilisateurs à 2 581 026 à travers le monde.
• La part d’utilisateurs qui a été confrontée au moins une fois au ransomware par rapport au nombre total d’utilisateurs confrontés au malware a reculé de près de 0,8 point de pourcentage, soit de 4,34 % en 2015-2016 à 3,88 % en 2016-2017.
• Parmi les utilisateurs qui ont été confrontés au ransomware, la part de ceux qui ont été victimes d’un malware de chiffrement a augmenté de 13,6 points de pourcentage et passe de 31 % en 2015-2016 à 44,6 % en 2016-2017.
• Le nombre d’utilisateurs attaqués par des malwares de chiffrement a presque doublé et est passée de 718 536 en 2015-2016 à 1 152 299 en 2016-2017.
• Le nombre d’utilisateurs victimes de ransomwares pour appareils mobiles a chuté de 4,62 % et passe de 136 532 en 2015-2016 à 130 232.

Conclusions et prévisions

Les statistiques et les tendances décrites dans ce rapport nous ont permis de tirer les conclusions suivantes :

• Les acteurs du milieu du ransomware commencent à se dévorer entre eux. Ceci indique une concurrence croissante entre les gangs qui vivent du ransomware.
• Les statistiques géographiques montrent que les attaques visent des pays ignorés jusqu’à présent, à savoir des pays où les utilisateurs ne sont pas bien préparés pour lutter contre le ransomware et où la concurrence entre criminels n’est pas aussi forte.
• L’élément inquiétant à souligner ici, c’est le caractère de plus en plus ciblé des attaques de ransomware qui visent les infrastructures financières à travers le monde. Cette tendance s’explique aisément : les criminels estiment que les attaques de ransomware ciblées contre des entreprises sont potentiellement plus rentables que des attaques en masse contre des particuliers.
• Les chiffres montrent que le ransomware sur PC continue son évolution, mais à un taux de croissance réduit.
• Qui plus est, le nombre d’utilisateurs attaqués par du ransomware pour appareils mobiles a chuté au cours de la période étudiée. Ceci pourrait être le signe de la réussite de la coopération ente les éditeurs de solutions de sécurité, les autorités policières et judiciaires et d’autres acteurs. La sensibilisation du public, favorisée par la couverture médiatique mondiale des campagnes de fraude les plus importantes, joue peut-être un rôle également dans cet état de fait.
• Une autre raison est le développement d’efforts concertés dans le secteur pour protéger les utilisateurs contre le ransomware de chiffrement.
• Bien que les statistiques indiquent que les attaques qui impliquent des ransomware sont de très grande ampleur, la responsabilité de la majorité des attaques contre les utilisateurs mobiles peut être attribuée à quelques groupes de malwares, diffusés pour la plupart via des programmes de partenariat. Parallèlement à cela, le ransomware sur PC affiche une situation diamétralement opposée : un nombre importants d’acteurs malveillants dans la nature organisent des attaques ad hoc.

Sur la base de ces conclusions, nous estimons que la situation actuelle dans le milieu du ransomware permet de formuler plusieurs prévisions sur le développement de la menace.

Prévisions

• Le modèle de l’extorsion ne va pas disparaître. Une croissance plus stable, à un niveau supérieur à la moyenne, pourrait signaler une tendance alarmante : la transition depuis les tentatives chaotiques et sporadiques des acteurs en vue de mettre en pied dans le milieu des menaces vers des volumes plus élevés et plus stables.
• Etant donné les signes d’une concurrence croissante sur le marché du ransomware, le concept de ransomware en tant que service est de plus en plus souvent adopté par les nouveaux acteurs.
• Le ransomware ne cesse de se diversifier et de devenir plus complexe. Il existe de nombreuses solutions « clé en main » pour les individus qui ne disposent pas des aptitudes, des ressources ou du temps nécessaires qui sont proposées via un éco-système clandestin de plus en plus efficace.
• Le développement de cette infrastructure qui met différents groupes criminels en contact alimente l’apparition d’outils simples à utiliser et adaptés qui permettent d’organiser des attaques ciblées et d’extorquer de l’argent. Les attaques sont plus dispersées. Cette tendance s’observe déjà et il est fort probable qu’elle va se maintenir.
• De leur côté, les initiatives internationales qui cherchent à protéger les utilisateurs contre le ransomware de chiffrement vont continuer à gagner du terrain.

Riposte

Via la technologie: Kaspersky Lab met à la disposition de toutes les entreprises un outil de lutte contre les ransomwares gratuit qu’elles peuvent télécharger et utiliser, quelle que soit la solution de sécurité adoptée.

Via la coopération: L’initiative No More Ransom. Le 25 juillet 2016, la police des Pays-Bas, Europol, Intel Security et Kaspersky Lab ont annoncé le lancement du projet No More Ransom. Il s’agit d’une initiative non commerciale qui réunit des intervenants du secteur public et du secteur privé et dont l’objectif est d’informer le public sur les dangers du ransomware et d’aider les victimes à récupérer leurs données. Le portail propose actuellement 50 outils de déchiffrement, dont sept développés par Kaspersky Lab. Depuis le lancement du projet, plus de 29 000 victimes à travers le monde ont été en mesure de récupérer gratuitement leurs fichiers grâce aux outils de Kaspersky Lab. Le portail du projet No More Ransom est disponible actuellement en 14 langues : anglais, néerlandais, italien, portugais, allemand, espagnol, slovaque, finnois, hébreux, ukrainien, coréen et japonais.

Rapport KSN : le ransomware entre 2016 et 2017 (rapport complet, en anglais) :