Au moins 45 entreprises belges ont vu leurs données publiées sur des sites de fuites en 2024
12 mai. Anti-Ransomware Day. Si, à l’échelle mondiale, les attaques par ransomware représentent 0,44 % de toutes les attaques, fort peu donc, le phénomène vise spécifiquement des cibles à forte valeur ajoutée plutôt que le plus grand nombre. Place aux vulnérabilités non-conventionnelles.
Huit ans après l’attaque WannaCry, les demandes de rançons restent plus que jamais d’actualité et les organisations de tous les secteurs risquent d’être visées par des cyber-attaques. Dans le pire des cas, leurs données sensibles se retrouvent sur des sites de fuites du Dark Web. Les cybercriminels resserrent ainsi l’étau pour contraindre leurs victimes à verser les sommes exigées.
La finance est une cible de choix
L’année dernière, les entreprises manufacturières ont été les plus ciblées (22 %). Viennent ensuite (18 %) les entreprises actives dans les services professionnels, scientifiques et techniques – de la recherche et du soutien juridique aux comptables et à la publicité. La finance et l’assurance (13 %), le commerce de gros (13 %) et la construction (7 %) ferment le top 5.
Les statistiques préoccupantes du secteur financier retiennent l’attention. Malgré une réglementation stricte, le nombre de victimes parmi les banques et les assurances a fortement augmenté l’année dernière. Cette hausse peut s’expliquer par l’extorsion de Penbox, un fournisseur de logiciels travaillant avec plus de 400 acteurs du secteur de l’assurance. De nombreuses organisations ont alors vu leurs données apparaître sur le Dark Web. C’est la preuve que les cyberattaques ne sont pas forcément dirigées contre les systèmes des entreprises, mais qu’elles peuvent tout aussi bien provenir d’un tiers compromis.
Les petites organisations aussi
On observe également un changement de cap des attaquants, qui ciblent désormais massivement les PME. Ainsi, 60 % des entreprises touchées comptent moins de 250 employés, et 25 % ont même moins de 50 employés. La taille de l’entreprise ne semble donc pas être un facteur déterminant dans le choix des cyberattaquants. Ils cherchent avant tout à faire le plus grand nombre de victimes possible avec une attaque par ransomware.
Cette évolution est rendue possible par le recours accru au RaaS (Ransomware-as-a-Service). LockBit, qui a été mis hors d’état de nuire l’année dernière, était un des acteurs RaaS les plus populaires, avec 16 % de part de marché. Kill Sec a également été à l’origine de 16 % des attaques par ransomware. Ransomhub complète le top 3 avec 13,5 %, suivi par 8Base (11 %), Aquila (8 %), BlackSuit (8 %), Medusa (8 %) et Qlin (8 %). Au total, au moins 1,35 To de données ont été volés à des organisations belges l’année dernière.
Ransomwares : demandez, l’IA le fait !
Autre conclusion du rapport : les outils d’IA sont de plus en plus employés pour le développement de ransomwares, CheckPoint avait d’ailleurs décrit l’action de FunkSec, un RaaS prolifique apparu en 2024 et qui a développé des outils à l’aide de l’intelligence artificielle pour ses affiliés. Le groupe, a découvert Kaspersky, se distingue par sa forte dépendance à l’égard des outils assistés par l’IA, ses ransomwares comportant du code généré par l’IA, assorti de commentaires sans faille, probablement générés par des LLM afin d’en améliorer le développement et d’échapper aux tentatives de détection
En 2024, des plateformes RaaS comme RansomHub ont prospéré en proposant des logiciels malveillants, un support technique et des programmes d’affiliation permettant de partager les rançons entre les différentes parties prenantes. « En partie à cause de l’accessibilité du RaaS, n’importe quelle organisation peut être ciblée par un ransomware aujourd’hui, commente Simen Van der Perre, Strategic Advisor, Orange Cyberdefense. Même si une entreprise est bien protégée, ses données et systèmes peuvent être compromis via des fournisseurs tiers, tels que les éditeurs de logiciels. Les organisations doivent donc impérativement minimiser à la fois le risque des ransomwares et leur impact. »
