En début d'année, place au bilan. Parmi toutes les statiques de 2019, il y en a une qui dépasse toutes les autres : les frais des attaques par rançongiciel augmentent et ne concernent pas seulement le montant de la rançon. Que coute réellement ce type d'attaque ?
L’année dernière les ransomware ont coûté aux Etats-Unis plus de $75 milliards selon les estimations. En effet, il y a eu beaucoup plus d'attaques par ransomware ! Le nombre de projets RaaS, do-it-yourself ransomware, c'est-à-dire dans lequels des criminels moins astucieux sont impliqués, a augmenté massivement. Ce qui rend cela encore plus inquiétant ? Le montant payé comme rançon ne représente pas la totalité des frais liés à une telle attaque. La perte financière totale des telles activités criminelles est bien plus élevée si on inclut les frais indirects. Quels sont-ils ? Découvrons-les au travers de six facteurs qui expliquent tous les frais causés par les attaques par rançongiciel.
Frais directs
1) La rançon
Bien sûr, le montant de la rançon est l’aspect le plus visible et la première chose à laquelle on pense. Mais ce n’est pas le seul facteur. Il y a d'autres frais plus couteux qui en découlent.
Ceci dit, on a constaté une croissance de 13 % de la somme moyenne de rançon : $41.198 au 3e trimestre de 2019 pour $36.295 au second trimestre.
Ryuk ransomware est largement responsable de cette augmentation massive de rançon par ransomware. Ces exploitants de logiciels malveillants ont exigé, en moyenne, $288.000 pour le déblocage des systèmes. À titre comparatif : d’autres groupes de criminels demandent environ $10.000.
Frais indirects
2) L'indisponibilité forcée
Les frais indirects rassemblent aussi les coûts d’interruptions de service causées par une attaque de ransomware. Ces arrêts impliquent cinq à dix fois plus de pertes pour les entreprises que les frais directs de la rançon.
Il est souvent compliqué d’évaluer précisément les coûts réels d’une interruption de service, étant donné qu’un arrêt peut avoir des conséquences diverses d'une entreprise à l'autre. Les frais moyens de l’indisponibilité des PME aux Etats-Unis en 2019 sont estimés à $141.000, une augmentation de plus de 200% par rapport à la moyenne de $46.800 de l’année précédente. Ce montant dépasse de plus de 20 fois la rançon moyenne exigée par les hackers de PME ($5.900).
Dans le secteur public, 42% des organisations ont été victimes d’un incident de ransomware lors des 12 derniers mois. Parmi celles-ci, 73% ont dû faire face à une indisponibilité de deux ou plusieurs jours. Dans le monde des affaires, l’interruption de service s’est élevée à plus de 12 jours, selon une étude du Ponemon Institute lors du 3e trimestre de 2019. La totalité des frais est estimée à $740.357.
Il s’agit ici des coûts occasionnés par l’arrêt forcé de l’exploitation, qui peut avoir une incidence inconcevable sur les résultats opérationnels. Ceci a été ressenti, par exemple, par le producteur d’aluminium Nork. L’entreprise a subi une attaque de ransomware avec comme résultat une perte cumulative de $55 millions. Des attaques visant des villes peuvent aussi s'avérer coûteuses. Par exemple, la ville américaine de New Orleans a été victime d'un ransomware. Cela lui aura couté environ $1 million. Or, une précédente attaque sur la ville de Baltimore, dans le Maryland, a entraîné une perte évaluée à $18 millions.
3) L'atteinte à la réputation
Les attaques par rançongiciel d’aujourd’hui ne sont pas fondamentalement différentes des cyberattaques d'autrefois : très destructrices et visibles. Les victimes n’ont pas d'autre choix que de communiquer au monde extérieur au sujet de l'attaque qu'ils viennent de subir.
L’aveu public de cette intrusion crée souvent un ressentiment et s'y ajoute le mécontentement de clients, d’investisseurs et d’autres partenaires. Les données sont souvent récupérables rapidement, mais c’est plus compliqué en ce qui concerne la confiance publique, surtout lorsque la communication n’a pas lieu à temps ou en toute transparence. Ceci peut avoir des conséquences négatives pour la rétention client, l’acquisition de futurs consommateurs et même pour les prix des actions de la société même.
4) La responsabilité
Les attaques de ransomware peuvent susciter un grand mécontentement parmi les clients. Ces personnes insatisfaites sont susceptibles de prendre des mesures juridiques pour exiger une compensation. C’est justement ce qui s’est passé dans l’État américain de l'Alabama avec la société DCH Health Systems après une attaque par rançongiciel sur les Hôpitaux Alabama en décembre 2019. Après l’offensive, il y a eu des malades qui ont soumis une réclamation à l’entreprise en raison d’atteinte contre la vie privée, de négligence et de discontinuité de soins médicaux.
Il est toujours possible, bien sûr, que certaines sociétés soient poursuivies pour telles injustices présumées sans qu’il n'y ait de lien avec le ransomware. C’est à cause de l’évidence qu’il s’agissait d’un logiciel de rançon que l’incident a été rendu public. C’est pourquoi la demande d’une compensation dans cette affaire a été simplifiée.
En outre, certains criminels ont commencé à exposer des données volées. Ces actions sont susceptibles non seulement d’embarrasser gravement l’organisation affectée, mais aussi de provoquer des plaintes et des affaires juridiques potentielles de clients dont les données sont divulguées.
5) Le préjudice supplémentaire
Quant à chaque type de cyber-infection, il faut que les victimes se préparent à subir toute une série de conséquences, y compris des dommages qui ne résultent pas directement de l'attaque. Brian Krebs nous apprend d'ailleurs qu’une entreprise, infectée en premier lieu par le Ryuk ransomware, a subi le vol de documents d’identification d’employés de la société. Ces documents ont ensuite été utilisés pour des activités frauduleuses, partiellement à l’aide d’un autre maliciel notoire, Emotet.
Heureusement, il ne s'agit pas encore d'un mode opératoire typique en cas de ransomawre. Pour l'instant, les criminels se contentent encore d'encaisser l'argent, sans plus. Par contre, ceci démontre clairement le potentiel de tels incidents lorsqu’il s’agit des risques de dégâts supplémentaires.
6) La perte de données
Malheureusement, le paiement de rançon n’offre aucune garantie sur la récupération en toute sécurité de données cryptées. On a découvert récemment que le mécanisme pour la restauration des données utilisé par Ryuk comporte un défaut, à cause duquel la réparation de certains types de fichiers est incomplète. Les données sont tout de même perdues, malgré le paiement effectif par la victime de la rançon demandée.
Dans d'autres cas, on sait qu’il y a des hackers qui s’enfuient avec la rançon sans prendre la peine de révéler les clés de décryptage. La malheureuse victime se retrouve avec une perte considérable y compris des données perdues à jamais.
Le décompte final
L’analyse des risques potentiels causés par les attaques par rançongiciel impose aux sociétés de prendre en considération plusieurs facteurs : rançon, indisponibilité, atteinte à la réputation, perte de données, et cetera. Après l’identification de tous ces aspects, nous vous conseillons d’aller à la recherche d’une solution moderne d'antivirus capable de tenir vos systèmes parfaitement en sécurité contre les logiciels de rançon. Il est aussi souhaitable de compléter celle-ci en ajoutant des systèmes adéquats de sauvegarde et des procédures pour la continuité de l’exploitation. Il est préférable en plus de contracter une cyber-assurance appropriée afin de réduire davantage le risque de subir une perte considérable.
Article intéressant? Suivez-nous sur LinkedIn, Twitter, YouTube ou Facebook pour voir plus de notre contenu.
Eric van Sommeren est Director Sales Northern Europe chez SentinelOne. En tant que bloggeur invité d EASI, il partage sa passion pour les logiciels de sécurité des points d’accès.
