Synthèse :
Un rançongiciel est un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent. Ce document se concentre sur les rançongiciels s’appuyant sur des capacités de chiffrement de fichiers et opérés à des fins lucratives. Il en existe des centaines de variantes.
L’année 2018 a vu la multiplication d’attaques par rançongiciel impactant des entreprises et institutions dans le monde entier, et elles dépassent désormais en nombre celles impactant les particuliers. Ces codes malveillants représentent actuellement la menace informatique la plus sérieuse pour les entreprises et institutions par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité. Sur les très nombreuses attaques de ce type en France, l’ANSSI a traité 69 incidents en 2019 sur son périmètre.
Si la grande majorité des attaques par rançongiciels s’avère être opportunistes et s’appuie essentiellement sur la faible maturité en sécurité numérique de leurs victimes, l’ANSSI et ses partenaires observent depuis 2018 de plus en plus de groupes cybercriminels cibler spécifiquement des entreprises financièrement robustes dans le cadre d’attaques dites « Big Game Hunting », parfois menées en combinaison avec d’autres codes malveillants (cryptomineurs, trojan bancaires). Elles sont réalisées par des groupes d’attaquants aux ressources financières et aux compétences techniques importantes, et présentent un niveau de sophistication parfois équivalent aux opérations d’espionnages informatiques opérées par des États. Alors que les montants de rançons habituels s’élèvent à quelques centaines ou milliers de dollars, celles demandées lors des attaques « Big Game Hunting » sont à la mesure de la cible et peuvent atteindre des dizaines de millions de dollars. Depuis fin 2019, l’ANSSI constate également que certains groupes cybercriminels cherchent à faire pression sur leurs victimes en divulguant des données internes préalablement exfiltrées du système d’information infecté.
Par ailleurs, la campagne d’attaque Wannacry de 2017 a montré que la combinaison d’un rançongiciel et d’un moyen de propagation automatique pouvait occasionner d’immenses dégâts économiques. S’appuyant sur un code sophistiqué mais exploitant une vulnérabilité logicielle connue faisant déjà l’objet d’une mise à jour de sécurité, l’impact de Wannacry aurait pu être fortement limité par une meilleure politique de mise à jour logicielle des entreprises dans le monde.
Les groupes d’attaquants opérant ces rançongiciels s’appuient sur un important écosystème cybercriminel générant deux milliards de dollars de bénéfices annuels. Il permet aux attaquants de sous-traiter une grande partie des actions pour mener à bien leurs opérations d’extorsion et d’y acheter les ressources nécessaires (données personnelles, accès légitimes compromis, codes malveillants).
Si les montants des rançons peuvent varier fortement en fonction des rançongiciels employés et des victimes impactées, les bénéfices générés sont estimés entre quelques millions et plus d’une centaine de millions de dollars par groupe d’attaquants. Le coût de mise en œuvre de ces opérations est plus difficile à estimer, mais ne s’élève pas à plus de quelques dizaines, voire centaines de milliers de dollars sur l’ensemble de la période d’activité malveillantes.
Les rançongiciels représentant un risque non négligeable de rupture d’activité, de nombreuses assurances proposent de le couvrir. Cette couverture consiste souvent en ce que l’assureur paye tout ou partie de la rançon. Des sociétés se sont développées autour de ce paiement des rançons en proposant des services de négociation avec les attaquants. Aujourd’hui, les assurances incitent les victimes à payer la rançon qui s’avère souvent moins élevée que le coût d’un rétablissement de l’activité sans le recours à la clé de déchiffrement. Pour autant cette couverture n’empêche pas les victimes d’être attaquées de nouveau. Cette incitation à payer valide le modèle économique des cybercriminels et les amène déjà à augmenter les rançons et à multiplier leurs attaques.
Les attaques contre Altran et NorskHydro montrent le danger d’un impact systémique des rançongiciels sur un secteur d’activité qui, en ciblant des entreprises sous-traitantes ou clés du secteur, pourraient amener un jour à le déstabiliser. Les attaques contre le laboratoire forensique Eurofins et certains départements de police américains montrent également que les cybercriminels peuvent entraver des investigations judiciaires. Si l’objectif restait lucratif, il est tout à fait envisageable que des groupes cybercriminels (ou le crime organisé en général) s’appuient un jour sur ce moyen pour faire pression sur la justice.