Les victimes de ransomwares ont payé environ 813 millions de dollars en 2024. Près de 40 % de ce montant pourrait être allé à des acteurs en Russie, en Chine et en Corée du Nord, selon une nouvelle analyse de la société de cybersécurité Heimdal.
Heimdal a utilisé la télémétrie récente, le suivi des infrastructures et la cartographie des propriétés pour évaluer la manière dont les produits des ransomwares sont susceptibles d'être distribués.
Le chiffre de 813 millions de dollars provient de Chainalysis et reste le total annuel le plus récent disponible.
Ces résultats offrent une nouvelle visibilité sur le sort des profits générés par les ransomwares et soulèvent des questions sur ce que les gouvernements, les fournisseurs d’infrastructures et les régulateurs peuvent faire pour perturber leur flux.
suivre l'argent
L'analyse de Heimdal, basée sur la télémétrie interne, le suivi des sources d'attaque et la cartographie des propriétaires, montre comment les revenus des ransomwares transitent par des réseaux opaques et des entités écran.
Si les paiements de ransomware de 813 millions de dollars en 2024 étaient répartis proportionnellement, environ 211 millions de dollars iraient probablement à des entités en Russie.
La Russie, la Chine et la Corée du Nord pourraient représenter ensemble environ 38 % du total des paiements.
Les sociétés écrans sont souvent utilisées pour dissimuler leurs opérations.
Un exemple est celui d’une société domiciliée en Allemagne appelée Razi Network, qui apparaît dans les données du registre européen de la propriété intellectuelle mais pas dans les registres du commerce allemands, signe d’angles morts en matière de réglementation.
De même, le groupe nord-coréen APT38 a été associé à des opérations à partir de plages IP basées au Panama, montrant comment les attaquants exploitent des juridictions peu surveillées.
Ces entités opèrent souvent à travers une combinaison de sociétés écrans nationales et transnationales.
Les sociétés écrans et les registres d’adresses flexibles sont fréquemment utilisés pour éviter l’attribution et retarder les efforts d’application de la loi.
Ces résultats mettent en évidence une question centrale.
Les ransomwares prospèrent grâce à une infrastructure accessible et bon marché et à la capacité de se cacher dans les failles de conformité mondiales.
Comment l’infrastructure le permet
L’économie des ransomwares persiste car plusieurs lacunes systémiques restent non résolues :
- Des contrôles inadéquats de connaissance du client (KYC) au niveau des bureaux d'enregistrement de domaines, des cédants d'adresses IP et des registres nationaux permettent à des entités introuvables de fonctionner.
- Les juridictions fragmentées rendent les retraits coordonnés lents et incohérents.
- Il n’existe pas d’autorité centrale ni de processus convenu pour vérifier les cessions de propriété intellectuelle ou la propriété des entités juridiques.
- Les attaquants à but lucratif automatisent, anonymisent et font évoluer les opérations à un coût minime.
Comment augmenter le coût d'une attaque
Réduire la rentabilité des ransomwares signifie rendre les attaques plus difficiles, plus risquées et plus coûteuses à mener.
Les actions clés comprennent :
- Renforcer la vérification des enregistrements d'infrastructure et des points de contact
- Partage accru de données entre les fournisseurs d’infrastructures
- Faire respecter la transparence concernant les paiements et les divulgations de violations
- Promouvoir la collaboration en matière de renseignement entre les secteurs public et privé
Au sein des organisations, des stratégies défensives telles que la segmentation du réseau, l’accès au moindre privilège et les sauvegardes immuables peuvent réduire les retours des attaquants en limitant les dégâts et en refusant l’obtention de rançons.
Pourquoi c'est important
Lorsqu’attaquer coûte peu cher et se défendre coûte cher, les criminels ont l’avantage.
Pour changer la donne, les gouvernements, l’industrie et les entreprises doivent se concentrer sur les fondamentaux économiques des ransomwares : facilité d’installation, de monétisation et de dissimulation.
Les ransomwares ne sont pas seulement un problème de malware. C'est un problème de modèle économique. Pour résoudre ce problème, il faut augmenter les coûts d’exploitation jusqu’à ce que la rentabilité ne l’emporte plus sur le risque.
Morten Kjaersgaard est le fondateur et président de Heimdal®, un leader mondial de la cybersécurité basée sur l'IA. Sous sa direction, Heimdal est passé d'une startup à Copenhague à un partenaire de sécurité de confiance pour plus de 16 000 organisations et plus de 2 000 MSP dans le monde, se défendant contre plus de 260 millions de cybermenaces chaque année. En mettant l'accent sur l'unification des opérations de cybersécurité, Morten est reconnu pour sa capacité à aligner l'innovation technique sur les résultats commerciaux stratégiques. Ses idées ont façonné la manière dont les organisations et leurs partenaires abordent la réduction des risques, la conformité et la maturité en matière de sécurité dans un monde numérique de plus en plus complexe. Voix respectée dans l'industrie, Morten partage fréquemment son expertise lors d'événements internationaux et dans les commentaires des médias, plaidant en faveur d'un modèle plus proactif, collaboratif et évolutif pour le succès de la cybersécurité.