Les revenus des gangs de cybercriminels chutent alors que de plus en plus de victimes refusent de payer pour les attaques de ransomwares.
Selon un récent rapport publié par la société d’analyse de chaînes de blocs Chainalysis Inc., les groupes de rançongiciels ont subi une baisse de 40 % de leurs revenus car les victimes ont refusé de payer des rançons. Ainsi, d’ici 2022, ils auraient extorqué au moins 457 millions de dollars aux victimes contre rançon. Ce serait 311 millions de dollars de moins que l’année précédente.
Bien que les experts s’accordent à dire que les vrais chiffres sont probablement plus élevés, puisqu’il « Des adresses de crypto-monnaie contrôlées par des attaquants de ransomware qui n’ont pas encore été identifiées sur la blockchain et incluses dans nos données. » Néanmoins, il n’en reste pas moins qu’en fin de compte moins de victimes sont prêtes à payer.
Les chercheurs voient la raison de ces paiements hésitants dans les attaques de ransomwares dans une recommandation du département du Trésor américain (Office of Foreign Assets Control) de septembre 2021. Il avertit les entreprises des éventuelles violations des sanctions lors du paiement des pirates de ransomwares.
Une autre raison pourrait être que les compagnies d’assurance cyber sont désormais moins disposées à aider leurs clients à payer des rançons. Ils insistent plutôt sur des mesures de sécurité plus strictes pour prévenir les attaques dès le départ, indique le rapport.
La recherche de Chainalysis s’appuie sur les données de la société de réponse aux incidents cybernétiques Coveware. Celles-ci révèlent que le nombre de clients Coveware ayant payé une rançon après une attaque a diminué régulièrement depuis 2019, passant de 76 % à 41 % en 2022.
Changements sur le marché des rançongiciels
Chainalysis note également que les attaques de ransomwares ont augmenté parallèlement à la baisse des revenus. En conséquence, le nombre de programmes malveillants utilisés par les attaquants pour chiffrer les données des victimes « explosé en 2022 »indique le rapport.
La société de cybersécurité Fortinet a identifié 10 666 nouvelles variantes de ransomwares au premier semestre 2022, contre 5 400 à la même période l’an dernier. Cependant, seules quelques-unes des variantes apportent aux attaquants des bénéfices significatifs, analyse Chainalysis :
« La grande majorité des revenus des ransomwares va à un petit groupe de tribus à un moment donné. »
L’augmentation du nombre d’attaques au cours de l’année écoulée pourrait être liée aux mesures coercitives prises par les autorités américaines. Celles-ci ont conduit à l’éclatement de certains des plus grands groupes de rançongiciels. En novembre 2021, des membres présumés du gang REvil du monde entier ont été arrêtés lors d’une opération policière mondiale. Les autorités américaines ont obtenu plus de 6 millions de dollars en crypto-monnaie dans le cadre d’une opération de piratage dite de « récupération ».
On pense que ces actions ont par la suite forcé les criminels à travailler en petits groupes. Les groupes de ransomwar semblent maintenant mener de plus en plus d’attaques à plus petite échelle plutôt que de poursuivre des cibles occidentales de chasse au gros gibier où des paiements importants sont plus probables. Jackie Burns Koven, responsable du renseignement sur les cybermenaces chez Chainalysis, note :
« Bien que la chasse au gros gibier soit devenue plus difficile, elle est toujours gratifiante. »
Elle prévient que les rançongiciels continuent d’être extrêmement rentables. Les petites entreprises devraient donc être plus vigilantes car les pirates informatiques continuent d’étendre leur filet pour toujours obtenir de l’argent.
De plus, les chercheurs en sécurité de Chainalysis ont observé que la durée de vie des ransomwares diminue. En conséquence, en 2022, la souche moyenne de ransomware est restée active pendant seulement 70 jours. Cela se compare à 153 en 2021 et 265 en 2020. Chainalysis pense que cette activité est probablement liée aux efforts des attaquants de ransomwares pour obscurcir leurs activités, car de nombreux attaquants travaillent avec plusieurs souches de ransomwares.
Chainalysis révèle également que les extorqueurs envoient la plupart des fonds générés par les ransomwares à des échanges communs et centralisés.
En fait, la proportion de fonds de ransomwares affluant vers les échanges traditionnels est passée de 39,3 % en 2021 à 48,3 % en 2022, tandis que la proportion allant vers les échanges à haut risque est passée de 10,9 % à 6,7 % a chuté. L’utilisation de services illicites tels que les marchés darknet pour le blanchiment d’argent des ransomwares a également diminué, tandis que l’utilisation de mélangeurs est passée de 11,6 % à 15,0 %.