Rapport 2022 Sophos

Le futur des ransomwares

Le futur des ransomwares : les ransomwares se sont imposés comme un élément majeur de l’écosystème cybercriminel. En tant que l’une des attaques de malware les plus potentiellement dommageables et les plus coûteuses, les ransomwares représentent un type d’attaque. Cela empêche la plupart des administrateurs de dormir tranquille, une sorte de Keyser Söze d’Internet. Alors que nous nous approchons de 2022, les ransomwares ne montrent aucun signe de ralentissement.

Le ransomware-as-a-service (RaaS) englobe les attaques menées par des groupes isolés

Au cours des 18 derniers mois, l’équipe Sophos Rapid Response a été appelée pour investiguer et traiter des centaines de cas impliquant des attaques de ransomware. Les ransomwares ne sont pas nouveaux, bien sûr, mais le paysage des ransomwares a considérablement changé au cours de cette période. Des entreprises de plus en plus grandes sont à présent ciblées, et le business model qui dicte les mécanismes selon lesquels les attaques doivent se dérouler a changé.

Le plus grand changement observé par Sophos se situe au niveau du passage d’acteurs malveillants « verticaux ». Ils créent puis attaquent les entreprises en utilisant leur propre ransomware sur mesure, à un modèle dans lequel un groupe crée le ransomware puis loue son utilisation à des spécialistes en matière d’entrée par effraction virtuelle.  Cela nécessite des compétences bien différentes de celles que possèdent les créateurs de ransomwares. Ce modèle de Ransomware-as-a-Service (ou RaaS) a changé le paysage d’une manière que nous ne pouvions pas prévoir.

Rapport SOPHOS 2022

Par exemple, lorsque le même groupe créait et lançait une attaque à l’aide de son propre ransomware, ces acteurs malveillants avaient tendance à utiliser des méthodes d’attaque uniques et différentes. Un groupe pouvait se spécialiser dans l’exploitation de services Internet vulnérables comme le RDP (Remote Desktop Protocol), tandis qu’un autre pouvait «acheter» l’accès à une entreprise précédemment compromise par un autre groupe de malwares. Mais avec le modèle RaaS, toutes ces différences ainsi que les détails sur la manière avec laquelle une attaque se déroule sont devenus confus. Elles rendent plus difficile pour les experts en réponse aux incidents d’identifier  exactement qui est à l’origine d’une attaque.

Télécharger le rapport