Statistiques, tendances et autres données sur les ransomwares

statistiques sur les ransomwares

Bien que les départements informatiques et les MSP continuent d’intensifier leurs efforts en matière de sécurité, les attaques par ransomware ne montrent aucun signe de ralentissement. Le rapport de Statistica sur les ransomwares montre qu’en 2022, environ 493,3 millions d’attaques par ransomwares ont été menées. Bien que ce chiffre soit en baisse par rapport aux 625,3 millions d’attaques menées en 2021, il reste plus élevé que toutes les autres années de la dernière décennie.

Pourquoi les attaques par ransomware ont-elles augmenté ces dernières années et qu’est-ce qui les rend si efficaces ? Pour bien comprendre l’origine des récentes attaques, il faut remonter à 2019, une année qui a vu naître toutes sortes de nouvelles cyberattaques encore jamais vues. Cet article s’attardera donc d’abord sur les attaques par ransomware en 2019 avant de se pencher sur les statistiques relatives aux ransomwares actuels et sur la façon de mieux protéger votre entreprise.

Comment les ransomwares ont-ils évolué ?

Au centre de l’évolution des ransomwares en 2019 se trouve un changement majeur qui s’éloigne des campagnes à fort volume et à faible rendement (les campagnes de spam de masse et les kits d’exploitation, par exemple) en faveur d’attaques à faible volume et à fort rendement ciblant spécifiquement les entreprises qui a) disposent des fonds/de la couverture d’assurance nécessaires pour payer d’importantes demandes de rançon et b) sont particulièrement sensibles aux périodes d’inactivité (et donc plus enclines à payer).

La société de sécurité CrowdStrike a baptisé cette approche la « chasse au gros gibier », un modèle largement utilisé par deux des opérations de ransomware les plus importantes et les plus lucratives actuellement en activité.

Les organisations cybercriminelles qui utilisent des ransomwares : Sodinokibi (REvil) et Ryuk

Le graphique ci-dessus montre l’évolution de la « part de marché » des opérations de ransomware les plus actives, sur la base des infections signalées à Coveware, spécialiste de la réponse aux incidents liés aux ransomwares.

C’est une illustration claire de la montée en puissance de Ryuk et de Sodinokibi (aussi appelé REvil). Ensemble, ces deux opérations ont représenté la moitié des infections constatées par Coveware au quatrième trimestre 2019. Bien que ces deux groupes aient accédé à la notoriété en 2019, ils restent deux des organisations de ransomware les plus importantes au monde aujourd’hui. Ryuk attaque environ 20 entreprises par jour, et 1 attaque de ransomware sur 3 implique REvil. REvil a été officiellement démantelé en janvier 2021, mais est réapparu plus tard dans l’année et continue d’exister à ce jour.

Alors que Dharma, Phobos et d’autres opérations s’adressent aux cybercriminels du plus petit dénominateur commun à la recherche de ransomwares facilement déployables et requérant une intervention minimale, les criminels qui se cachent derrière Ryuk et Sodinokibi constituent un groupe plus exclusif. Ils n’accordent pas la licence de leurs ransomwares à n’importe qui et adoptent une approche plus manuelle qui nécessite une plus grande expertise. Plutôt que de se contenter de déposer un exécutable et de laisser les choses suivre leur cours, ces attaquants s’assurent que le terrain est prêt pour un impact plus important en tirant parti des techniques de reconnaissance, d’escalade des privilèges et de mouvement latéral pour d’abord s’implanter dans les réseaux des victimes. Ils prennent également le temps de désactiver les outils de sécurité et les sauvegardes avant d’exécuter leur ransomware, qui a alors un effet dévastateur.

Statistiques sur les ransomwares en 2019

demande moyenne des ransomware en 2019

84 116 $ (environ 78 360 €) payés à des ransomwares en 2019. Selon Coveware, il ne s’agit pas là du montant moyen demandé au quatrième trimestre 2019, mais du montant moyen payé. Ce chiffre est en hausse par rapport à la moyenne de 6 733 $ (environ 6 270 €) enregistrée 12 mois auparavant,

mais est fortement biaisé par Ryuk et Sodinokibi (le paiement médian au quatrième trimestre 2019 était de 41 198 $ (environ 38 380 €)). Les demandes de ces deux acteurs peuvent généralement atteindre six, voire sept chiffres, ce qui fait que même une seule attaque réussie peut être extrêmement lucrative.

Quelques exemples concrets :

Les sommes d’argent qui reviennent à ces criminels pour financer de futures attaques sont très inquiétantes, et les larges sommes ainsi que la quantité des rançons payées poussent même les assureurs à augmenter leurs tarifs de cyberassurance de 25 %.

Pourquoi les attaquants réussissent-ils si bien à convaincre les entreprises de payer ? La raison principale est à chercher du côté des périodes d’inactivité.

statistiques sur les périodes d'inactivité causées par les ransomwares en 2019

Au-delà de l’augmentation vertigineuse du montant des rançons, il faut retenir un autre chiffre extrêmement significatif concernant les attaques actuelles par ransomware : 16,2. C’est le nombre moyen de jours d’inactivité que les entreprises subissent en raison d’une infection (toujours selon Coveware).

Il n’est donc pas surprenant que les coûts associés aux périodes d’inactivité dues aux ransomwares augmentent également.

coût des périodes d'inactivité liées aux ransomwares en 2019

Ces chiffres donnent à réfléchir. Combien d’entreprises (en particulier les PME) peuvent se permettre de perdre 140 000 $ (environ 130 425 €) et  de subir plus de deux semaines d’inactivité et de perturbations ?

Ces chiffres incitent également les entreprises (et leurs assureurs) à envisager toutes les options, en particulier lorsque des sauvegardes exploitables ne sont pas disponibles. Cependant, même lorsque ces dernières le sont, il arrive que des entreprises estiment que payer la rançon et tenter leur chance avec les clés de déchiffrement est potentiellement moins coûteux que le temps et les efforts nécessaires pour restaurer leurs systèmes par leurs propres moyens.

Statistiques sur les ransomwares en 2023

Maintenant que nous avons passé en revue certaines des attaques par ransomware passées, voyons quelles sont les statistiques relatives aux ransomwares pour 2023.

  • Chainanalysis prévoyait que les entreprises paieraient 898,6 millions de dollars (environ 835 millions d’euros) en rançon avant la fin de l’année 2023. Un chiffre qui, au final, a avoisiné les 939,9 millions de dollars (environ 875 millions d’euros) versés en 2021 pour des attaques par ransomware. Cette statistique alarmante montre non seulement que le nombre d’attaques par ransomware augmente, mais que le coût et les dommages qu’elles infligent aux entreprises augmentent également.
  • Selon Zscalar, « les attaques de ransomware ont augmenté de plus de 37 % en 2023, le paiement moyen d’une rançon par une entreprise dépassant les 100 000 dollars (environ 93 160 d’euros), avec une demande moyenne de 5,3 millions de dollars (environ 4,65 millions d’euros). » Même pour les grandes entreprises, 5,3 millions de dollars représentent une somme importante qu’il vaudrait mieux utiliser à d’autres fins, par exemple pour soutenir la croissance de l’entreprise, plutôt que pour lutter contre les menaces et les cybercriminels. Malheureusement, même si le montant de 5,3 millions de dollars est incroyablement élevé pour une demande, de nombreuses entreprises répondent aux exigences des cybercriminels afin de protéger leur activité contre d’autres dommages ou destructions.
  • On dénombre 1,7 million d’attaques par ransomware par jour, soit 19 attaques par seconde. Cela prouve que les cybercriminels n’ont pas l’intention de relâcher leurs attaques et que les départements informatiques ne doivent jamais baisser la garde en matière de sécurité. Il est vrai que 1,7 million d’attaques par jour est un chiffre astronomique, mais tant que les entreprises sont conscientes de la menace et suivent les bonnes pratiques en matière de cybersécurité, elles seront bien préparées à faire face à tout ce qui peut arriver.
  • En 2023, le coût moyen d’une attaque par ransomware était de 1,85 million de dollars (environ 931 600 euros), un chiffre incroyablement élevé pour la plupart des entreprises. C’est là la raison principale pour laquelle les entreprises mettent la clé sous la porte après une attaque par ransomware : elles ne sont pas en mesure de se rétablir financièrement, en particulier les petites entreprises ou les MSP. Ce chiffre augmentant d’année en année, il est plus important que jamais que les départements informatiques se protègent contre la cybercriminalité.

Malheureusement, cette liste de statistiques sur les ransomwares pourrait s’allonger à l’infini, mais une tendance est claire : les ransomwares constituent toujours une menace aujourd’hui comme en 2019, et la menace s’accroît sur plusieurs fronts. Le nombre d’attaques par ransomware étant en augmentation, tout comme leur coût pour les entreprises, les équipes IT doivent faire de la sécurité une priorité absolue afin de se protéger contre cette menace grandissante.

Quelles sont les entreprises ciblées par les ransomwares ?

Statistiques sur les attaques de petites entreprises par ransomware en 2019

Alors que les attaques contre de grandes entreprises comme Travelex et les municipalités dominent les gros titres, la vérité est que près des deux tiers des victimes de ransomware en 2019 étaient des PME, qui sont évidemment moins bien protégées et préparées pour bien gérer une infection active.

risques d'attaque par ransomware pour les petites entreprises en 2019

Pour les PME, il ne s’agit vraiment pas de savoir « si » mais « quand » elles subiront une attaque, puisque 20 % d’entre elles déclarent en avoir déjà subi une.

cibles des ransomwares en 2019

Outre les PME et les grandes entreprises, les municipalités, les prestataires de soins de santé et les écoles ont été largement ciblés en 2019, notamment en raison de leur réputation de disposer de systèmes obsolètes/vulnérables, d’une faible tolérance aux périodes d’inactivité et d’une volonté avérée de payer des rançons.

attaque par ransomware de msp en 2019

Découvrez comment un de nos clients, H.E.R.O.S., a pu se remettre rapidement d’une attaque par ransomware avec une période d’inactivité minimale et très peu de dommages durables.

Une tendance particulièrement préoccupante pour celles et ceux d’entre nous qui travaillent dans le domaine des MSP est la montée en flèche des attaques ciblant spécifiquement les fournisseurs de services gérés. Selon l’assureur Beazley, un quart des incidents de ransomware qui lui ont été signalés au troisième trimestre 2019 avaient pour origine une attaque contre leur fournisseur de services informatiques ou de services gérés.

Nous avons abordé cette tendance en détail dans notre webinaire avec Huntress Labs, « How MSPs Can Survive a Coordinated Ransomware Attack » (en anglais uniquement) et nous avons apporté nos propres initiatives de sécurité, y compris en rendant l’authentification à deux facteurs (2FA) obligatoire pour l’utilisation de NinjaOne.

Au départ, c’était surtout Sodinokibi qui dictait la tendance, mais à la fin de l’été 2023, d’autres acteurs avaient eux aussi compris les possibilités qui se présentaient à eux et se lançaient dans l’aventure.

attaques par ransomware des les clients de msp en 2019

Compromettre des MSP est alléchant car cela permet aux attaquants d’accéder à leurs puissants outils de gestion à distance et, par extension, à tous leurs clients. La communauté des MSP se défend cependant. Les MSP et les fournisseurs dans le domaine intensifient leurs mesures de protection, demandent à leurs pairs de renforcer la sécurité et se réunissent pour partager des informations vitales sur les menaces.

En tant que fournisseur ou client d’un MSP, que pouvez-vous faire pour vous protéger ?

Comment les équipes IT et les fournisseurs de services de gestion de contenu (MSP) peuvent-ils empêcher les attaques par ransomware ?

La bonne nouvelle est que, malgré la maturité et la sophistication croissantes des opérations de ransomware, la grande majorité des attaques peuvent être évitées grâce à cinq mesures :

  1. Sécurisez le RDP : ne l’exposez pas à internet ! Verrouillez-le (comment faire ici).
  2. Désactivez les macros Office (dans la mesure du possible) : il en va de même pour OLE et DDE (voici comment faire)
  3. Activez la MFA partout : cela permet d’éviter les prises de contrôle de comptes et le détournement d’outils.
  4. Investissez dans le filtrage des e-mails et du DNS : l’objectif est de protéger les utilisateurs finaux en éliminant autant que possible les éléments nuisibles avant qu’ils ne les atteignent.
  5. Investissez dans la gestion des correctifs : automatisez les choses autant que possible avec une solution qui peut appliquer les mises à jour de Windows et de tiers. Ce rapport montre que 57 % des fuites de données sont attribuées à une mauvaise gestion des correctifs.

Et bien sûr, utilisez une solution de sauvegarde correctement configurée – sans oublier de vraiment tester la récupération des sauvegardes à grande échelle. Il est essentiel de disposer de plusieurs points de restauration et d’une réplication hors site. Rappelez-vous la sauvegarde de Shrodinger : « L’état d’une sauvegarde est inconnu jusqu’à ce qu’une restauration soit tentée. »

Il ne s’agit là que de la partie émergée de l’iceberg en ce qui concerne les mesures de protection, mais étant donné que la grande majorité des ransomwares sont transmis par des services RDP compromis et des e-mails (généralement accompagnés de documents Office malveillants), appliquer ne serait-ce que ces cinq mesures réduira considérablement les risques.

Il est également utile de disposer d’une solution RMM et de gestion informatique, telle que NinjaOne, qui vous permet de jeter les bases d’une posture solide en matière de sécurité informatique. Grâce à la gestion automatisée des correctifs, aux sauvegardes sécurisées et à la visibilité complète de votre infrastructure informatique, NinjaOne RMM vous aide à empêcher les attaques de ransomware dès le départ.

Pour aller plus loin

Les principes fondamentaux de la sécurité des appareils sont essentiels à votre posture de sécurité globale. NinjaOne facilite l’application de correctifs, le durcissement, la sécurisation et la sauvegarde des données de tous les appareils de façon centralisée, à distance et à grande échelle.
Pour en savoir plus sur NinjaOne Backup, participez à une visite guidée en direct ou commencez votre essai gratuit de la plateforme NinjaOne.

Vous pourriez aussi aimer

Prêt à simplifier les aspects les plus complexes de l'informatique et de la sécurité ?
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton “J’accepte” ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni “tel quel” et “tel que disponible”, sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).