Les attaques de rançongiciel aux États-Unis sont-elles en hausse ou en baisse ? Pourquoi c’est difficile à dire

Les rançongiciels sont en baisse, si vous comptez le nombre d’attaques signalées sur les sites d’information et aux régulateurs.

Ou ils augmentent, si vous comptez le nombre de victimes répertoriées par les gangs de rançongiciels.

Ou c’était en baisse au cours des sept premiers mois de l’année, mais maintenant c’est en hausse…

La vérité, indique une analyse de fin d’année des données américaines par des chercheurs d’Emsisoft, est que nous ne savons pas quelle est la vérité.

« Seule une minorité d’attaques de rançongiciels contre des entreprises du secteur privé [aux États-Unis] sont divulguées publiquement ou signalées aux forces de l’ordre », indique le rapport, « ce qui entraîne une pénurie d’informations statistiques. La réalité est que personne ne sait avec certitude si le nombre d’attaques est stable ou si sa tendance est à la hausse ou à la baisse. »

Pour cette raison, le rapport d’Emsisoft se concentre sur seulement quatre secteurs : selon le décompte d’Emsisoft, l’année dernière, 105 gouvernements locaux, 44 universités et collèges, 45 districts scolaires exploitant 1 981 écoles et 24 prestataires de soins de santé exploitant 289 hôpitaux ont été touchés par des rançongiciels. Les chiffres proviennent de déclarations de divulgation, d’articles de presse, du dark web et de flux d’informations tiers vérifiés.

Il manque les attaques contre les secteurs de la technologie, des services, de l’hôtellerie et de la vente au détail.

Comme dans de nombreux pays du monde, les organisations américaines ne sont pas obligées de signaler publiquement les violations des contrôles de sécurité.

« Le fait qu’il ne semble pas y avoir eu de diminution du nombre d’incidents [aux États-Unis] est préoccupant », déclarent les chercheurs d’Emsisoft. Les initiatives de lutte contre les rançongiciels ont incluent des décrets de la Maison Blanche, des sommets internationaux, des efforts accrus pour perturber l’écosystème des rançongiciels et la création par le Congrès d’un organe interinstitutions, le Joint Ransomware Task Force (JRTF), pour unifier et renforcer les efforts. « Pourtant, malgré ces initiatives, les rançongiciels ne semblent pas jusqu’à présent être moins problématiques », indique le rapport.

Le nombre de gouvernements locaux touchés a augmenté par rapport à 2021, année où 77 attaques de rançongiciels avaient été lancées contre les gouvernements. Cependant, les chercheurs soulignent que les chiffres de 2022 ont été considérablement affectés par un seul incident dans le comté de Miller, dans l’Arkansas, où un ordinateur central compromis a propagé des logiciels malveillants à des terminaux dans 55 comtés différents. Des données ont été volées dans au moins 27 des 105 incidents.

Les 89 organisations du secteur de l’éducation qui ont été touchées par des rançongiciels l’année dernière ne constituaient qu’une de plus que les 88 en 2021. Cependant, il y avait une grande différence dans le nombre total d’écoles individuelles potentiellement touchées. En 2021, les districts touchés comptaient 1043 écoles entre eux mais, en 2022, ce chiffre a presque doublé pour atteindre 1981 écoles. Les données ont été exfiltrées dans au moins 58 incidents.

L’incident le plus important de l’année a été l’attaque de septembre contre le district scolaire unifié de Los Angeles qui, avec plus de 1300 écoles et 500 000 élèves, est le deuxième plus grand district des États-Unis . Selon TechCrunch, quelque 500 Go de données ont été copiées et publiées.

Au moins trois organisations ont payé une rançon, dont le Glenn County Education Office, CA, qui a payé 400 000 $ US.

L’incident lié aux soins de santé le plus important de l’année a été l’attaque contre CommonSpirit Health , qui exploite près de 150 hôpitaux à travers les États-Unis. Les données personnelles de 623 774 patients ont été compromises.

Les chercheurs d’Emsisoft notent que le nombre d’incidents ne fournit pas une image complète du paysage des rançongiciels, ni n’indique nécessairement si les initiatives gouvernementales de lutte contre les rançongiciels réussissent ou échouent. Par exemple, une diminution du niveau de perturbation causée par des attaques ou du montant payé en rançons pourrait être considérée comme une victoire, même si le nombre d’incidents avait augmenté.

La mise en œuvre des meilleures pratiques peut limiter la portée d’une attaque, par exemple en empêchant les mouvements latéraux), soutiennent-ils. Une organisation qui détecte et bloque une attaque à ses débuts peut ne rencontrer que quelques points de terminaison chiffrés, tandis qu’une autre peut subir une panne catastrophique de plusieurs semaines à l’échelle de l’organisation. « Ce sont évidemment des événements très différents en termes d’ampleur et d’impact, mais le simple fait de compter les incidents ne permet pas de les distinguer. La meilleure mesure de l’efficacité des initiatives de lutte contre les rançongiciels serait de savoir si les pertes en dollars résultant d’incidents ont augmenté ou diminué, mais, malheureusement, ces données ne sont pas disponibles. »

Enfin, les chercheurs disent qu’il est temps d’arrêter d’appeler cette catégorie de logiciels malveillants « rançongiciels », car certaines attaques ne sont que des vols de données par des groupes de rançongiciels.

« Une meilleure façon de voir ces incidents serait simplement des “événements de vol de données”. Le “vol de données basé sur le chiffrement” et “le vol de données basée sur l’exfiltration” sont des sous-catégories des événements de vol de données. Ces descripteurs ne sont peut-être pas des substituts idéaux pour les “rançongiciels” mais nous sommes sûrs que quelqu’un peut proposer de meilleures alternatives », ont déclaré les chercheurs.

Une autre version de cet argument a été proposée par un analyste des menaces lors de la conférence SecTor de l’automne dernier à Toronto.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Un gang de rançongiciel commence à divulguer des données volées dans une université québécoise

Le gang de rançongiciel LockBit a commencé à divulguer des données qui, selon lui, auraient été volées le mois dernier dans une université québécoise. Les données proviennent de l'Université de Sherbrooke, qui compte environ 31 000 étudiants et 8 200 professeurs et employés.

Les sites Web du gang de rançongiciel AlphV/BlackCat saisis, le FBI publie un décrypteur

Les autorités américaines ont confirmé le démantèlement du gang de rançongiciel AlphV/BlackCat, notamment la saisie de plusieurs sites de fuite de données et de communication du groupe et la publication d'un décrypteur que les organisations victimes peuvent utiliser pour accéder à nouveau aux données brouillées.

Une commission scolaire du sud de l’Ontario reconnaît un « cyberincident »

L'une des plus grandes commissions scolaires publiques du sud de l'Ontario a reconnu publiquement une cyberattaque, plus d'un mois après sa détection.

Les entreprises canadiennes de taille moyenne paient en moyenne 1,13 million de dollars aux gangs de rançongiciels

Le paiement moyen de rançongiciel effectué par les entreprises canadiennes de taille moyenne s'élevait cette année à un peu plus d'un million de dollars, selon une nouvelle enquête.

De nombreuses organisations ne pensent pas être la cible de gangs de rançongiciel, selon une enquête d’OpenText

De nombreuses organisations s'inquiètent des rançongiciels mais ne pensent toujours pas qu'elles en sont une cible, selon une enquête publiée mercredi par OpenText.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.