Le coût total moyen de récupération après une attaque de ransomware a plus que doublé en un an, passant de 761 106 dollars en 2020 à 1,85 million de dollars en 2021, révèle une enquête Sophos. La rançon moyenne payée est de 170 404 $.
Les résultats mondiaux montrent également que seulement 8% des entreprises parviennent à récupérer toutes leurs données après avoir payé une rançon, et 29% ne récupèrent pas plus de la moitié de leurs données.
L’enquête a interrogé 5 400 décideurs informatiques dans des entreprises de taille moyenne dans 30 pays à travers l’Europe, les Amériques, l’Asie-Pacifique et l’Asie centrale, le Moyen-Orient et l’Afrique.
Alors que le nombre d’organisations ayant subi une attaque de ransomware est passé de 51% des répondants interrogés en 2020 à 37% en 2021, et moins d’organisations ont subi un cryptage de données à la suite d’une attaque importante (54% en 2021 contre 73% en 2020) , les nouveaux résultats de l’enquête révèlent des tendances à la hausse inquiétantes, notamment en termes d’impact d’une attaque de ransomware.
«La baisse apparente du nombre d’organisations touchées par les ransomwares est une bonne nouvelle, mais elle est tempérée par le fait qu’elle est susceptible de refléter, au moins en partie, des changements dans le comportement des attaquants», a déclaré Chester Wisniewski, chercheur principal, Sophos.
«Nous avons vu des attaquants passer d’attaques automatisées génériques à plus grande échelle à des attaques plus ciblées qui incluent le piratage manuel au clavier. Bien que le nombre total d’attaques soit plus faible en conséquence, notre expérience montre que le potentiel de dommages de ces attaques ciblées plus avancées et complexes est beaucoup plus élevé. De telles attaques sont également plus difficiles à récupérer, et nous voyons cela reflété dans l’enquête dans le doublement des coûts globaux de réparation. »
«Les résultats confirment la vérité brutale selon laquelle les ransomwares ne sont pas payants pour payer. Bien que davantage d’organisations aient choisi de payer une rançon, seule une infime minorité de ceux qui ont payé ont récupéré toutes leurs données », a déclaré Wisniewski.
«Cela pourrait être en partie dû au fait que l’utilisation de clés de déchiffrement pour récupérer des informations peut être compliquée. De plus, il n’ya aucune garantie de succès. Par exemple, comme nous l’avons vu récemment avec DearCry et le rançongiciel Black Kingdom, les attaques lancées avec du code et des techniques de mauvaise qualité ou compilés à la hâte peuvent rendre la récupération de données difficile, voire impossible. »
«La récupération après une attaque de ransomware peut prendre des années et c’est bien plus que simplement déchiffrer et restaurer des données», a déclaré Wisniewski. «Des systèmes entiers doivent être reconstruits à partir de zéro, puis il y a le temps d’arrêt opérationnel et l’impact client à prendre en compte, et bien plus encore.
«De plus, la définition de ce qui constitue une attaque« ransomware »évolue. Pour une petite mais importante minorité de répondants, les attaques impliquaient des demandes de paiement sans cryptage des données. Cela peut être dû au fait qu’ils avaient mis en place des technologies anti-ransomware pour bloquer l’étape de cryptage ou parce que les attaquants ont simplement choisi de ne pas crypter les données.
«Il est probable que les attaquants exigeaient un paiement en échange de ne pas avoir divulgué des informations volées en ligne. Un exemple récent de cette approche impliquait le gang de ransomwares Clop et un acteur de la menace à motivation financière connu frappant une douzaine de victimes présumées avec des attaques uniquement d’extorsion.
«En bref, il est plus important que jamais de se protéger contre les adversaires à la porte, avant qu’ils n’aient une chance de s’emparer et de déployer leurs attaques de plus en plus multiples. Heureusement, si des organisations sont attaquées, elles n’ont pas à faire face seules à ce défi. L’assistance est disponible 24h / 24 et 7j / 7 sous la forme de centres d’opérations de sécurité externes, de services de recherche de menaces dirigées par l’homme et de réponse aux incidents.
1. Supposons que vous serez touché. Les ransomwares restent très répandus. Aucun secteur, pays ou taille d’organisation n’est à l’abri du risque. Il vaut mieux être préparé, mais pas touché, plutôt que l’inverse
2. Effectuez des sauvegardes et conservez une copie hors ligne. Les sauvegardes sont la principale méthode utilisée par les organisations interrogées pour récupérer leurs données après une attaque. Optez pour l’approche standard de l’industrie du 3: 2: 1 (trois ensembles de sauvegardes, utilisant deux supports différents, dont l’un est conservé hors ligne)
3. Déployez une protection en couches. Comme de plus en plus d’attaques de ransomwares impliquent également de l’extorsion, il est plus important que jamais de garder les adversaires à l’écart en premier lieu. Utilisez une protection en couches pour bloquer les attaquants à autant de points que possible dans un domaine
4. Combinez des experts humains et une technologie anti-ransomware. La clé pour arrêter les ransomwares est une défense en profondeur qui combine une technologie anti-ransomware dédiée et une chasse aux menaces dirigée par l’homme. La technologie fournit l’échelle et l’automatisation dont une organisation a besoin, tandis que les experts humains sont les mieux à même de détecter les tactiques, techniques et procédures révélatrices qui indiquent qu’un attaquant tente de pénétrer dans l’environnement.
Si vous n’avez pas les compétences en interne, envisagez de faire appel au soutien d’une entreprise spécialisée dans la cybersécurité – Les centres d’opérations de sécurité (SOC) sont désormais des options réalistes pour les organisations de toutes tailles.
5. Ne payez pas la rançon. Facile à dire, mais beaucoup moins facile à faire lorsqu’une organisation s’est arrêtée en raison d’une attaque de ransomware. Indépendamment de toute considération éthique, payer la rançon est un moyen inefficace de récupérer des données. Si vous décidez de payer, gardez à l’esprit que les adversaires ne restaureront, en moyenne, que les deux tiers de vos fichiers
6. Ayez un plan de récupération des logiciels malveillants. La meilleure façon d’empêcher une cyberattaque de se transformer en une violation complète est de se préparer à l’avance. Les organisations qui sont victimes d’une attaque se rendent souvent compte qu’elles auraient pu éviter des pertes financières et des perturbations importantes si elles avaient mis en place un plan de réponse aux incidents.
Ref: https://www.helpnetsecurity.com
