D’après les résultats d’une étude Vanson Bourne pour SentinelOne, 48 % des personnes interrogées ont déclaré que leur entreprise avait subi par au moins une attaque de ransomware au cours des 12 derniers mois. Mais la grande majorité a réussi à contrer ces attaques. Soit les entreprises ont pu empêcher le malware d’atteindre leurs fichiers, soit elles sont parvenues à décrypter avec succès les fichiers, soit elles ont restauré leurs fichiers à partir de sauvegardes. Dans 27 % des cas, l'attaquant n'est pas parvenu à chiffrer les fichiers. Dans 45 % des attaques, certains fichiers ont été cryptés, mais les entreprises ont pu les décrypter par leurs propres moyens. Dans 25 % des cas, l’entreprise victime a pu remplacer les fichiers cryptés à partir de sauvegardes. Dans 3 % des cas seulement, les entreprises ont été dans l’incapacité de restaurer les fichiers cryptés. « En général, le paiement de la rançon leur a permis de récupérer les fichiers, mais souvent les attaquants ont réclamé plus d'argent avant de fournir les clefs de décryptage », a déclaré Jeremiah Grossman, spécialiste en stratégie de la sécurité chez SentinelOne, la société qui a sponsorisé l’enquête.
Cependant, les rançons demandées par les attaquants aux entreprises sont nettement plus élevées que celles qu’ils demandent aux particuliers. Jeremiah Grossman reconnaît que la taille de l'échantillon choisi pour ce sondage est assez réduite, mais parmi les 10 personnes ayant répondu à la question relative au montant de la rançon, la fourchette des sommes payées se situe entre 37 000 et 49 000 dollars. « Comparativement, les chiffres fournis par d'autres enquêtes montrent que les rançons payées par les particuliers victimes de ransomware se situent généralement entre 500 et 2 000 dollars », a-t-il déclaré. Dans les attaques à l’aveugle et disséminées, les pirates demandent en général des montants plus faibles. « Mais, dans le cas des entreprises, les attaques ont l’air plus ciblées. Surtout, les pirates essayent d’obtenir plus d'argent ».
Des malwares plus sophistiqués sont attendus
Le ransomware est aussi de plus en plus sophistiqué. Parfois, la clé utilisée pour crypter les fichiers est la même que celle qui sert au déchiffrement, c’est-à-dire qu’elle est intégrée dans le malware. Ou encore, une autre erreur commise par les pirates, c’est qu’ils utilisent la même clé pour toutes leurs infections ransomwares. Si bien que, quand une victime paye la rançon et récupère la clé de décryptage, toutes les autres victimes peuvent l’utiliser pour récupérer leurs fichiers. « Je pense que ce temps est révolu », a déclaré Jeremiah Grossman. « Il y a encore des amateurs parmi les pirates, mais il faut s’attendre à voir arriver des familles de malwares beaucoup plus sophistiquées et beaucoup plus efficaces. Par ailleurs, tous les hackers vont passer au cryptage asynchrone.
C'est-à-dire qu’ils utiliseront une clé différente pour le cryptage et le décryptage des fichiers ». Toujours selon le spécialiste en stratégie de la sécurité, « il faut également s’attendre à ce qu’un plus grand nombre de ransomwares utilise des clés différentes pour chaque victime ». Ajoutant : « Chaque fois qu’une victime paye la rançon, elle encourage les pirates et leur procure des ressources supplémentaires pour développer d’autres malwares. Cela traduit d’une part, par une recrudescence des ransomwares, mais aussi par plus de recherche et de développement de la part des pirates pour créer des malwares plus efficaces ».