Des chercheurs de la société KELA, spécialisée dans le renseignement sur les menaces, ont récemment analysé 48 fils de discussion actifs sur des marchés clandestins, rédigés par des acteurs de la menace cherchant à acheter l’accès aux systèmes, aux actifs et aux réseaux des organisations. Ils ont constaté qu’au moins 40 % des messages étaient publiés par des participants actifs dans la chaîne d’approvisionnement en ransomware-as-a-service.
Sans surprise, les entreprises des pays développés comme les États-Unis, le Canada, l’Australie et les pays européens sont des cibles privilégiées, tandis que les organisations basées dans des pays membres de la Communauté des États indépendants sont généralement évitées – très probablement parce que les acteurs de la menace sont basés dans certains de ces pays et souhaitent éviter que les forces de l’ordre locales ne se concentrent sur eux.
« Le revenu minimum moyen souhaité par les attaquants de ransomware est de 100 millions USD, certains d’entre eux déclarant que le revenu souhaité dépend de la localisation. Par exemple, l’un des acteurs a décrit la formule suivante : le revenu doit être supérieur à 5 millions USD pour les victimes américaines, supérieur à 20 millions USD pour les victimes européennes, et supérieur à 40 millions USD pour les pays du ‘tiers monde’. »
Toutes les demandes d’accès ne sont pas faites par des gangs de ransomware.
« Les similitudes entre les exigences des acteurs liés aux ransomwares concernant les victimes et les listes et conditions d’accès des IAB illustrent le fait que les opérations RaaS agissent exactement comme des entreprises. Elles établissent des « normes industrielles » avec une liste noire de secteurs et de pays, définissent le chiffre d’affaires et la géographie de leurs « clients » et offrent un prix compétitif aux acteurs de la menace qui leur fournissent les « biens » souhaités », conclut M. Kivilevich, qui conseille aux entreprises de se sensibiliser et de se former régulièrement à la cybersécurité, de surveiller et de corriger les vulnérabilités et de procéder à une surveillance ciblée et automatisée des actifs clés.
Malgré ces résultats, il est bon de garder à l’esprit que les cybercriminels et les gangs de ransomware trouvent également des moyens de pénétrer dans les organisations elles-mêmes.
