Ransomware : un gang engrange 121 millions de dollars en 6 mois

L’exploitation des ransomwares s’avère très profitable. Avec des gains qui peuvent se chiffrer en plusieurs dizaines de millions de dollars pour les cybercriminels. Dans son rapport de septembre sur les menaces de sécurité Internet, les chercheurs de McAfee Labs (encore estampillé Intel Security malgré sa récente revente) illustrent la question en relevant des captures d’écrans postées dans un forum underground par un développeur. Celui-ci y vante l’efficacité de sa solution de son rançongiciel.

Le même développeur y partage également un lien vers un fournisseur de blockchain révélant les détails des transactions effectuées. Une cinquantaine de transactions a généré près de 190 000 bitcoins, soit environ 121 millions de dollars. Lesquels se réduisent, après les frais opérationnels (location de botnets pour des campagnes de phishing, achat de kit d’exploitation…) à plus de 148 000 bitcoins. Soit environ 94 millions de dollars (voir capture ci-dessous). Une somme que le développeur assure avoir gagné en 6 mois. « Ces campagnes illustrent le genre d’argent qui peut être fait rapidement par des attaques de ransomware », commente le rapport de McAfee/Intel Security.

Le secteur hospitalier particulièrement ciblé

Néanmoins, si les rançongiciels atteignent leurs cibles, les campagnes ne trouvent pas toujours le succès escompté par leurs pourvoyeurs. « La plupart des victimes ne payent pas la rançon », note McAfee. « Cependant, ajoute le rapport, les hôpitaux réputés pour avoir été la cible de Samsam semblent payer ». Samsam est l’un des crypto-logiciel les plus en vue pour avoir ciblé le monde hospitalier.

Visiblement, le secteur de la santé est particulièrement prisé des attaquants. Une cible de choix qui n’est pas due au hasard. Selon les chercheurs en sécurité de McAfee, les responsables IT des centres médicaux sont confrontés à trois enjeux majeurs au quotidien : s’assurer de la continuité des soins aux patients; préserver l’établissement des fuites de données; le tout en travaillant généralement avec des équipements archaïques dotés de systèmes d’exploitation tout aussi surannés (Windows XP souvent). De fait, quand le fonctionnement d’un hôpital est bloqué par l’impossibilité d’accès aux fichiers des patients (soit parce que ceux-ci sont chiffrés, soit parce que les équipes coupent les liens réseau pour réduire la propagation de l’infection), l’établissement n’a d’autre choix que payer pour récupérer ses données le plus rapidement possible afin de continuer à assurer son service de soins. Et les attaquants le savent bien. Après avoir visé les particuliers puis les petites entreprises qui n’ont pas nécessairement de sauvegardes de leurs données, les ransomwares ont particulièrement ciblé le secteur hospitalier cette année, avance Mc Afee.

128% d’augmentation des ransomwares

« Bien que le secteur des soins de santé a subi son lot de violations de données ces dernières années, nous voyons un changement dans l’approche qu’empruntent les attaquants en tirant parti des outils pour générer facilement des ransomwares, amadouer leurs victimes et leur faire payer des rançons pour restaurer leurs données », peut-on lire dans le rapport. Les cybercriminels s’évitent ainsi la phase de vols de données qu’ils chercheront à revendre sur le dark web. Avec les ransomwares, ils sont payés directement. Et grassement. Selon McAfee, le montant des transactions constatées au cours du premier trimestre 2016 par les hôpitaux victimes de Samsam s’élevait en moyenne à 100 000 dollars.

Une stratégie qui paie, donc. Plus généralement, les ransomwares figurent parmi les malwares les plus prolifiques ces derniers mois. Selon McAfee, le nombre total de rançongiciels en circulation a progressé de 128% en un an pour dépasser les 7 millions d’exemplaires en circulation au deuxième trimestre 2016. Dont 1,3 million de nouvelles variantes sur cette seule période. « Le nombre de nouveaux échantillons ransomware a été le plus élevé jamais enregistré au deuxième trimestre », commentent le McAfee Labs Threats Report. En comparaison, le nombre de malwares toutes familles confondues n’a progressé « que » de 32% sur l’année. Il dépasse désormais les 600 millions d’échantillons collectés par l’éditeur de sécurité.

Lire également
Une faille JBoss ouvre la porte des serveurs au ransomware SamSam
Une variante de Locky se fait passer pour un fichier système Windows
Ransomware : Locky active le mode pilotage automatique

Photo credit: portalgda via Visualhunt.com / CC BY-NC-SA