Les attaques de rançongiciel aux États-Unis sont-elles en hausse ou en baisse ? Pourquoi c’est difficile à dire

Les rançongiciels sont en baisse, si vous comptez le nombre d’attaques signalées sur les sites d’information et aux régulateurs.

Ou ils augmentent, si vous comptez le nombre de victimes répertoriées par les gangs de rançongiciels.

Ou c’était en baisse au cours des sept premiers mois de l’année, mais maintenant c’est en hausse…

La vérité, indique une analyse de fin d’année des données américaines par des chercheurs d’Emsisoft, est que nous ne savons pas quelle est la vérité.

« Seule une minorité d’attaques de rançongiciels contre des entreprises du secteur privé [aux États-Unis] sont divulguées publiquement ou signalées aux forces de l’ordre », indique le rapport, « ce qui entraîne une pénurie d’informations statistiques. La réalité est que personne ne sait avec certitude si le nombre d’attaques est stable ou si sa tendance est à la hausse ou à la baisse. »

Pour cette raison, le rapport d’Emsisoft se concentre sur seulement quatre secteurs : selon le décompte d’Emsisoft, l’année dernière, 105 gouvernements locaux, 44 universités et collèges, 45 districts scolaires exploitant 1 981 écoles et 24 prestataires de soins de santé exploitant 289 hôpitaux ont été touchés par des rançongiciels. Les chiffres proviennent de déclarations de divulgation, d’articles de presse, du dark web et de flux d’informations tiers vérifiés.

Il manque les attaques contre les secteurs de la technologie, des services, de l’hôtellerie et de la vente au détail.

Comme dans de nombreux pays du monde, les organisations américaines ne sont pas obligées de signaler publiquement les violations des contrôles de sécurité.

« Le fait qu’il ne semble pas y avoir eu de diminution du nombre d’incidents [aux États-Unis] est préoccupant », déclarent les chercheurs d’Emsisoft. Les initiatives de lutte contre les rançongiciels ont incluent des décrets de la Maison Blanche, des sommets internationaux, des efforts accrus pour perturber l’écosystème des rançongiciels et la création par le Congrès d’un organe interinstitutions, le Joint Ransomware Task Force (JRTF), pour unifier et renforcer les efforts. « Pourtant, malgré ces initiatives, les rançongiciels ne semblent pas jusqu’à présent être moins problématiques », indique le rapport.

Le nombre de gouvernements locaux touchés a augmenté par rapport à 2021, année où 77 attaques de rançongiciels avaient été lancées contre les gouvernements. Cependant, les chercheurs soulignent que les chiffres de 2022 ont été considérablement affectés par un seul incident dans le comté de Miller, dans l’Arkansas, où un ordinateur central compromis a propagé des logiciels malveillants à des terminaux dans 55 comtés différents. Des données ont été volées dans au moins 27 des 105 incidents.

Les 89 organisations du secteur de l’éducation qui ont été touchées par des rançongiciels l’année dernière ne constituaient qu’une de plus que les 88 en 2021. Cependant, il y avait une grande différence dans le nombre total d’écoles individuelles potentiellement touchées. En 2021, les districts touchés comptaient 1043 écoles entre eux mais, en 2022, ce chiffre a presque doublé pour atteindre 1981 écoles. Les données ont été exfiltrées dans au moins 58 incidents.

L’incident le plus important de l’année a été l’attaque de septembre contre le district scolaire unifié de Los Angeles qui, avec plus de 1300 écoles et 500 000 élèves, est le deuxième plus grand district des États-Unis . Selon TechCrunch, quelque 500 Go de données ont été copiées et publiées.

Au moins trois organisations ont payé une rançon, dont le Glenn County Education Office, CA, qui a payé 400 000 $ US.

L’incident lié aux soins de santé le plus important de l’année a été l’attaque contre CommonSpirit Health , qui exploite près de 150 hôpitaux à travers les États-Unis. Les données personnelles de 623 774 patients ont été compromises.

Les chercheurs d’Emsisoft notent que le nombre d’incidents ne fournit pas une image complète du paysage des rançongiciels, ni n’indique nécessairement si les initiatives gouvernementales de lutte contre les rançongiciels réussissent ou échouent. Par exemple, une diminution du niveau de perturbation causée par des attaques ou du montant payé en rançons pourrait être considérée comme une victoire, même si le nombre d’incidents avait augmenté.

La mise en œuvre des meilleures pratiques peut limiter la portée d’une attaque, par exemple en empêchant les mouvements latéraux), soutiennent-ils. Une organisation qui détecte et bloque une attaque à ses débuts peut ne rencontrer que quelques points de terminaison chiffrés, tandis qu’une autre peut subir une panne catastrophique de plusieurs semaines à l’échelle de l’organisation. « Ce sont évidemment des événements très différents en termes d’ampleur et d’impact, mais le simple fait de compter les incidents ne permet pas de les distinguer. La meilleure mesure de l’efficacité des initiatives de lutte contre les rançongiciels serait de savoir si les pertes en dollars résultant d’incidents ont augmenté ou diminué, mais, malheureusement, ces données ne sont pas disponibles. »

Enfin, les chercheurs disent qu’il est temps d’arrêter d’appeler cette catégorie de logiciels malveillants « rançongiciels », car certaines attaques ne sont que des vols de données par des groupes de rançongiciels.

« Une meilleure façon de voir ces incidents serait simplement des “événements de vol de données”. Le “vol de données basé sur le chiffrement” et “le vol de données basée sur l’exfiltration” sont des sous-catégories des événements de vol de données. Ces descripteurs ne sont peut-être pas des substituts idéaux pour les “rançongiciels” mais nous sommes sûrs que quelqu’un peut proposer de meilleures alternatives », ont déclaré les chercheurs.

Une autre version de cet argument a été proposée par un analyste des menaces lors de la conférence SecTor de l’automne dernier à Toronto.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Le Canada parmi les pays où les données mobiles sont les plus dispendieuses

HelloSafe Canada, une plateforme de comparaison de produits financiers, vient de publier les résultats d’une étude internationale sur le coût des données mobiles. On y apprend que le Canada figure au top 20 des pays qui payent le plus pour leurs données cellulaires. 

La répression des gangs de rançongiciels n’a toujours pas démontré d’impact selon OpenText

Le triomphe des forces de l'ordre sur les gangs de rançongiciels Hive, Conti et REvil au cours des 12 derniers mois n'a pas émoussé l'utilisation de la technologie, selon un nouveau rapport d'OpenText. 

Indigo refuse de payer la rançon au gang LockBit

Indigo Books & Music ne paiera pas le gang de rançongiciels LockBit pour les données volées le mois dernier, selon un reportage. 

Telus enquête sur une présumée vente de code et d’informations sur les employés

Quelqu'un sur un forum criminel vend ce qu'il prétend être des données sur tous les employés de Telus, ainsi que les référentiels de codes logiciels GitHub de la société canadienne de télécommunications.

Veeam tient parole avec son programme de garantie contre les rançongiciels

La grande nouvelle lors du lancement mardi dernier par Veeam Software de ce que la société a simplement appelé la nouvelle plate-forme de données Veeam n'était pas l'introduction de plus de 500 nouvelles fonctionnalités, mais le fait que l'édition Premium inclut désormais un programme de garantie qui couvre la récupération des données en cas d'une attaque de rançongiciel vérifiée.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.