Les rançongiciels sont en baisse, si vous comptez le nombre d’attaques signalées sur les sites d’information et aux régulateurs.
Ou ils augmentent, si vous comptez le nombre de victimes répertoriées par les gangs de rançongiciels.
Ou c’était en baisse au cours des sept premiers mois de l’année, mais maintenant c’est en hausse…
La vérité, indique une analyse de fin d’année des données américaines par des chercheurs d’Emsisoft, est que nous ne savons pas quelle est la vérité.
« Seule une minorité d’attaques de rançongiciels contre des entreprises du secteur privé [aux États-Unis] sont divulguées publiquement ou signalées aux forces de l’ordre », indique le rapport, « ce qui entraîne une pénurie d’informations statistiques. La réalité est que personne ne sait avec certitude si le nombre d’attaques est stable ou si sa tendance est à la hausse ou à la baisse. »
Pour cette raison, le rapport d’Emsisoft se concentre sur seulement quatre secteurs : selon le décompte d’Emsisoft, l’année dernière, 105 gouvernements locaux, 44 universités et collèges, 45 districts scolaires exploitant 1 981 écoles et 24 prestataires de soins de santé exploitant 289 hôpitaux ont été touchés par des rançongiciels. Les chiffres proviennent de déclarations de divulgation, d’articles de presse, du dark web et de flux d’informations tiers vérifiés.
Il manque les attaques contre les secteurs de la technologie, des services, de l’hôtellerie et de la vente au détail.
Comme dans de nombreux pays du monde, les organisations américaines ne sont pas obligées de signaler publiquement les violations des contrôles de sécurité.
« Le fait qu’il ne semble pas y avoir eu de diminution du nombre d’incidents [aux États-Unis] est préoccupant », déclarent les chercheurs d’Emsisoft. Les initiatives de lutte contre les rançongiciels ont incluent des décrets de la Maison Blanche, des sommets internationaux, des efforts accrus pour perturber l’écosystème des rançongiciels et la création par le Congrès d’un organe interinstitutions, le Joint Ransomware Task Force (JRTF), pour unifier et renforcer les efforts. « Pourtant, malgré ces initiatives, les rançongiciels ne semblent pas jusqu’à présent être moins problématiques », indique le rapport.
Le nombre de gouvernements locaux touchés a augmenté par rapport à 2021, année où 77 attaques de rançongiciels avaient été lancées contre les gouvernements. Cependant, les chercheurs soulignent que les chiffres de 2022 ont été considérablement affectés par un seul incident dans le comté de Miller, dans l’Arkansas, où un ordinateur central compromis a propagé des logiciels malveillants à des terminaux dans 55 comtés différents. Des données ont été volées dans au moins 27 des 105 incidents.
Les 89 organisations du secteur de l’éducation qui ont été touchées par des rançongiciels l’année dernière ne constituaient qu’une de plus que les 88 en 2021. Cependant, il y avait une grande différence dans le nombre total d’écoles individuelles potentiellement touchées. En 2021, les districts touchés comptaient 1043 écoles entre eux mais, en 2022, ce chiffre a presque doublé pour atteindre 1981 écoles. Les données ont été exfiltrées dans au moins 58 incidents.
L’incident le plus important de l’année a été l’attaque de septembre contre le district scolaire unifié de Los Angeles qui, avec plus de 1300 écoles et 500 000 élèves, est le deuxième plus grand district des États-Unis . Selon TechCrunch, quelque 500 Go de données ont été copiées et publiées.
Au moins trois organisations ont payé une rançon, dont le Glenn County Education Office, CA, qui a payé 400 000 $ US.
L’incident lié aux soins de santé le plus important de l’année a été l’attaque contre CommonSpirit Health , qui exploite près de 150 hôpitaux à travers les États-Unis. Les données personnelles de 623 774 patients ont été compromises.
Les chercheurs d’Emsisoft notent que le nombre d’incidents ne fournit pas une image complète du paysage des rançongiciels, ni n’indique nécessairement si les initiatives gouvernementales de lutte contre les rançongiciels réussissent ou échouent. Par exemple, une diminution du niveau de perturbation causée par des attaques ou du montant payé en rançons pourrait être considérée comme une victoire, même si le nombre d’incidents avait augmenté.
La mise en œuvre des meilleures pratiques peut limiter la portée d’une attaque, par exemple en empêchant les mouvements latéraux), soutiennent-ils. Une organisation qui détecte et bloque une attaque à ses débuts peut ne rencontrer que quelques points de terminaison chiffrés, tandis qu’une autre peut subir une panne catastrophique de plusieurs semaines à l’échelle de l’organisation. « Ce sont évidemment des événements très différents en termes d’ampleur et d’impact, mais le simple fait de compter les incidents ne permet pas de les distinguer. La meilleure mesure de l’efficacité des initiatives de lutte contre les rançongiciels serait de savoir si les pertes en dollars résultant d’incidents ont augmenté ou diminué, mais, malheureusement, ces données ne sont pas disponibles. »
Enfin, les chercheurs disent qu’il est temps d’arrêter d’appeler cette catégorie de logiciels malveillants « rançongiciels », car certaines attaques ne sont que des vols de données par des groupes de rançongiciels.
« Une meilleure façon de voir ces incidents serait simplement des “événements de vol de données”. Le “vol de données basé sur le chiffrement” et “le vol de données basée sur l’exfiltration” sont des sous-catégories des événements de vol de données. Ces descripteurs ne sont peut-être pas des substituts idéaux pour les “rançongiciels” mais nous sommes sûrs que quelqu’un peut proposer de meilleures alternatives », ont déclaré les chercheurs.
Une autre version de cet argument a été proposée par un analyste des menaces lors de la conférence SecTor de l’automne dernier à Toronto.
Adaptation et traduction française par Renaud Larue-Langlois.