Une étude mondiale révèle que le coût moyen de restauration s’élève à 1,4 millions de dollars pour les entreprises en cas de paiement de la rançon, contre 730 000 dollars si elles ne la paient pas
SophosLabs alerte sur l’utilisation de techniques d’incitation à payer liées au ransomware Maze
Sophos, leader mondial en solutions de cybersécurité Next-Gen, dévoile les résultats de son étude mondiale dans un rapport intitulé The State of Ransomware 2020. Celui-ci révèle que verser aux cybercriminels les rançons demandées afin de restaurer des données chiffrées suite à une attaque de ransomware n’est pas l’option la plus facile ni la moins coûteuse pour un retour à la normale. En effet, le fait de payer la rançon multiplie presque par deux le coût total du processus. L’étude a été menée auprès de 5000 décideurs informatiques exerçant au sein d’entreprises de 26 pays différents répartis sur six continents dont l’Europe, l’Amérique, l’Asie-Pacifique et l’Asie centrale, le Moyen-Orient et l’Afrique.
En France, plus de la moitié (52%) des entreprises ont indiqué avoir constaté une attaque de ransomware majeure au cours des douze derniers mois, contre 48% en 2017. Dans 80% des cas d’attaques réussies, les données avaient été chiffrées. En dehors de la rançon elle-même, le coût d’une attaque de ce type pour l’entreprise s’élève à plus de 420 000 euros en France en moyenne, prenant notamment en compte les temps d’arrêt, la perte de chiffre d’affaires ainsi que les coûts opérationnels. En cas de paiement de la rançon, cette moyenne double. 19% des entreprises françaises visées par un ransomware reconnaissent avoir payé la rançon. En France, 81% des entreprises interrogées déclarent avoir souscrit une assurance de cybersécurité mais seules 61% disposent d’une assurance couvrant les attaques de ransomware.
« Les entreprises se sentent parfois sous pression pour payer la rançon afin d’éviter les temps d’arrêt préjudiciables. À première vue, effectuer le paiement de la rançon semble être une manière efficace de restaurer les données, mais ce n’est qu’illusoire. Les résultats de l’étude de Sophos démontrent que le paiement de la rançon n’a que peu d’incidence sur le temps et les coûts liés aux efforts de restauration. En effet, une simple clé de chiffrement n’est pas un remède miracle et il faut souvent bien plus pour restaurer les données. Il arrive bien souvent que les pirates partagent plusieurs clés, de ce fait, avoir recours à ces clés pour restaurer les données peut se révéler complexe et chronophage », déclare Chester Wisniewski, Principal Research Scientist chez Sophos.
En France, plus de la moitié (61%) des responsables IT interrogés déclarent avoir pu restaurer leurs données à partir de sauvegardes sans payer la rançon. Dans un très petit nombre de cas (2%), le paiement de la rançon n’a pas permis de restaurer les données. À l’échelle mondiale, ce chiffre s’élève à 5% pour les organisations du secteur public. 13% des répondants du secteur public ont d’ailleurs déclaré ne pas avoir pu restaurer leurs données chiffrées, contre 6% tous secteurs confondus.
Néanmoins, et contrairement à certaines idées reçues, les organisations du secteur public sont les moins touchées par des attaques de ransomware, 45% d’entre elles déclarant avoir été la cible d’une attaque majeure au cours des douze derniers mois. Au niveau mondial dans le secteur privé, ce sont les entreprises du secteur des médias, des loisirs et du divertissement qui ont été les plus touchées par les ransomware, avec 60 % des personnes interrogées déclarant avoir subi des attaques.
Une pression de plus en plus grande pour le paiement des rançons
Les chercheurs de SophosLabs ont publié un nouveau rapport intitulé « Maze Ransomware: Extorting Victims for 1 Year and Counting », qui s’intéresse aux outils, techniques et procédures utilisées par cette menace nouvelle génération qui combine chiffrement des données, vol d’informations et menace de divulgation. Cette approche, que d’autres familles de ransomware, comme LockBit, commencent également à adopter, selon les observations des chercheurs de Sophos, vise à accroître la pression sur la victime pour qu’elle paie la rançon. Grâce au nouveau rapport de Sophos, les professionnels de la sécurité seront plus à même de comprendre et anticiper l'évolution des comportements des pirates de ransomware afin de protéger leur entreprise.
« Un système de sauvegarde permettant de restaurer des données chiffrées sans effectuer de paiement aux attaquants est essentiel pour l’entreprise, mais la résilience aux ransomwares passer par d’autres éléments importants », ajoute Wisniewski. « Les pirates les plus expérimentés tels que les cyberattaquants responsables du ransomware Maze ne se contentent pas de chiffrer les fichiers, ils volent également des données en vue de les divulguer ou d’extorquer leur propriétaire. LockBit fait partie des ransomware ayant recours à cette tactique, comme nous l’avons signalé récemment. Certains cyberattaquants cherchent également à supprimer ou à compromettre les sauvegardes de leurs victimes pour rendre la restauration des données plus difficile et les pousser à payer. Le meilleur moyen pour pallier ces manœuvres malveillantes est de conserver ses sauvegardes hors ligne et d’utiliser des solutions de sécurité multi-niveaux efficaces permettant de détecter et de bloquer les attaques à différents stades. »
Plus d’information sur le ransomware Maze sont disponibles dans le rapport publié sur SophosLabs Uncut.
L’étude « The State of Ransomware 2020 » a été réalisée par Vanson Bourne, cabinet indépendant d'études de marché, en janvier et février 2020. L’étude a été menée auprès de 5000 décideurs informatiques de 26 pays aux Etats-Unis, au Canada, au Brésil, en Colombie, au Mexique, en France, en Allemagne, au Royaume-Uni, en Italie, aux Pays-Bas, en Belgique, en Espagne, en Suède, en Pologne, en République tchèque, en Turquie, en Inde, au Nigeria, en Afrique du Sud, en Australie, en Chine, au Japon, à Singapour, en Malaisie, aux Philippines et aux Émirats Arabes Unis. Les participants à l’étude sont issus d’entreprises comptant entre 100 et 5000 collaborateurs.
Ressources annexes
- En savoir plus sur la multiplication des techniques d’extorsion : « LockBit Ransomware Borrows Tricks to Keep up with REvil and Maze »
- En savoir plus sur les rapports SophosLabs sur les ransomware Snatch et Robbinhood
- En savoir plus sur les comportements des ransomware dans le guide complet des ransomware Sophos : « How Ransomware Attacks »
- En savoir plus sur le paysage des menaces et les tendances de 2020 : rapport sur les menaces de SophosLabs
- En savoir plus sur le rôle central d’Emotet grâce à la dernière infographie Sophos
- Consultez-les toutes dernières actualités sur la sécurité et l’actualité de l’entreprise sur Naked Security et sur Sophos News
- Pour plus d’informations sont disponibles sur SophosLabs Uncut and Naked Security.
- Suivez Sophos sur Twitter, LinkedIn, Facebook, Spiceworks, et YouTube