Depuis le début de la pandémie de Covid-19, l’activité des rançongiciels, ces logiciels malveillants bloquant les ordinateurs afin de réclamer aux victimes de l’argent, est en pleine expansion. Le nombre de victimes a même augmenté au deuxième trimestre 2021. Afin de mieux comprendre l’écosystème actuel des cybermenaces, Google a analysé plus de 80 millions d’échantillons de ransomware à travers son service VirusTotal.

Plusieurs pics d’activité détectés

Dans plus de cinquante pays, la multinationale a examiné des millions d’échantillons de ransomware provenant de 140 pays différents. Selon le rapport proposé par Google, il existe plus de 270 groupes différents dispersés dans une cinquantaine de pays. Ce chiffre comprend également des groupes engagés à la fois dans des opérations de cyberespionnage, mais aussi dans des campagnes de désinformation. Au total, 130 familles de malware ont été comptabilisées entre janvier 2020 et septembre 2021, distribuant près de 30 000 virus.

Graphique mettant en avant l'activité des groupes de ransomware entre janvier 2020 et septembre 2021. Capture d'écran : Google.

Un pic de l’activité des ransomwares a été détecté au cours des deux premiers trimestres de 2020. VirusTotal attribue cette activité à GrandCrab : « Ce groupe a connu un pic extraordinaire au premier trimestre 2020 qui a considérablement diminué par la suite. Il est toujours actif, mais à un ordre de grandeur différent en termes de nombre d'échantillons récents. » Un autre pic a été enregistré en juillet 2021, provoqué par le groupe Babuk dont les actions sont reconnaissables, car suivant toujours le même processus. Matsnu, Congur, Locky, Teslacrypt, Rkor, Reveon ou encore REvil sont les autres groupes les plus actifs.

80 millions de rançongiciels analysés provenant de 140 pays

Sur la totalité des pays ayant participé à l’étude, c’est l’Israël qui a fourni le plus d’échantillons de ransomware avec une augmentation de 600 % par rapport à sa base de référence. Il est suivi par la Corée du Sud, le Vietnam, la Chine, Singapour, l'Inde, le Kazakhstan, les Philippines, l'Iran et le Royaume-Uni dans le top 10 des pays possédant le plus grand nombre d’attaques.

Graphique Google

Graphique mettant en avant l'augmentation du nombre d'attaques selon les pays. Capture d'écran : Google.

Selon le rapport, 95 % des fichiers de ransomware détectés étaient des exécutables Windows ou des bibliothèques de liens dynamiques (DLL) et 2 % étaient basés sur Android. VirusTotal précise que « le résultat est logique étant donné que les échantillons de ransomware sont généralement déployés à l'aide d'ingénierie sociale et/ou par des droppers. » Après avoir examiné les échantillons, la firme déclare qu’entre 1 000 et 2 000 ransomwares ont été détectés pour la première fois sur les 30 000 identifiés.