Deux nouvelles études suggèrent que les rançongiciels ne sont plus le piège lucratif à l’échelle de l’entreprise qu’il était auparavant. Les bénéfices pour les portefeuilles des attaquants et le pourcentage de victimes qui paient ont chuté de façon spectaculaire en 2022, selon deux rapports distincts.
Chainalysis, une société d’analyse de blockchain qui a travaillé avec un certain nombre d’organismes d’application de la loi et gouvernementaux, suggère dans un article de blog que sur la base des paiements aux adresses de crypto-monnaie qu’elle a identifiées comme liées aux attaques de ransomware, les paiements aux attaquants sont passés de 766 millions de dollars en 2021 à 457 millions de dollars l’an dernier. La firme note que ses données de portefeuille ne fournissent pas une étude complète des ransomwares ; il a dû réviser à la hausse son total de 2021 de 602 $ pour ce rapport. Mais les données de Chainalysis suggèrent que les paiements – sinon les attaques – sont en baisse depuis leur pic pandémique.
La publication de Chainalysis montre également que les attaquants basculent plus rapidement entre les souches de logiciels malveillants, et que des attaquants plus connus conservent leurs fonds dans les principaux échanges de crypto-monnaie au lieu des destinations illicites et de mélange de fonds qui étaient plus populaires à l’époque du boom des ransomwares. Cela pourrait ressembler à un signe d’un marché mature avec un coût d’entrée plus élevé. Mais il y a plus que l’économie typique, suggère Chainalysis.
Les petits attaquants basculent souvent entre différents fournisseurs de ransomwares en tant que service (RaaS) en effectuant divers types de tests A/B sur les cibles. Et des souches spécifiques de logiciels malveillants apportent différents facteurs de risque aux négociations de rançon. Lorsqu’il s’est avéré que Conti, une importante souche de rançongiciel, coordonnait son action avec le Kremlin et le Service fédéral de sécurité (FSB) de Russie, les victimes avaient une autre raison — les sanctions gouvernementales — de ne pas payer. CD Projekt Red, créateur des jeux Cyberpunk 2077 et Le sorceleurétait l’un des résistants notables.
Les dirigeants de Conti se sont séparés et ont fini par travailler au sein d’un certain nombre d’autres groupes de rançongiciels, note Chainalysis. Ainsi, bien que les rançongiciels puissent ressembler à un énorme marché avec des milliers de participants, il s’agit toujours d’un petit groupe traçable d’acteurs clés qui peuvent être surveillés.
La société d’analyse de cybersécurité Coveware constate des tendances similaires, signalant que les victimes payant sont passées de 85 % au premier trimestre de 2019 à 37 % au quatrième trimestre de 2022. et les effets cumulés d’une diminution des paiements poussant les attaquants de ransomwares hors du marché.
La plupart de ces informations correspondent au rapport de Chainalysis, mais Coveware a quelques statistiques surprenantes. Les paiements de rançon moyens et médians ont considérablement augmenté au cours du dernier trimestre de 2022 par rapport au trimestre précédent. La taille médiane d’une victime de ransomware a également augmenté, avec un pic particulier pour atteindre des niveaux records au cours du dernier semestre 2022. Coveware suggère qu’il s’agit d’un autre résultat de la compression du non-paiement des attaquants. Cibler les grandes entreprises permet une demande initiale plus importante, et de plus en plus d’entreprises tentent de réextorquer les victimes, ce qui n’était auparavant pratiqué que par les petites entreprises ciblant les petites entreprises. « Les groupes RaaS se soucient moins que leurs prédécesseurs de maintenir leur réputation », explique le message de Coveware. « Les acteurs des ransomwares sont avant tout motivés par l’économie, et lorsque l’économie sera suffisamment désastreuse, ils s’abaisseront à des niveaux de tromperie et de duplicité pour récupérer leurs pertes. »
Plus de données, de graphiques et d’exemples peuvent être trouvés sur les articles de blog de Chainalysis et Coveware, comme d’abord repéré par Dark Reading.