Pirate informatique au visage caché et portant un chandail à capuchon.
Photo : Elnur Amikishiyev / 123RF

Les entreprises canadiennes touchées par des attaques de rançongiciels versent en moyenne près d’un demi-million de dollars aux pirates, selon les résultats d’un nouveau sondage.

L’enquête, menée en septembre par Angus Reid pour la société de cybersécurité Palo Alto Networks, mais publiée mercredi, a révélé que la rançon moyenne payée par les entreprises canadiennes était de 458 247 $, tandis que la rançon moyenne demandée était de 449 868 $.

Pas moins de 9 % des répondants ont indiqué avoir payé encore plus, entre 500 000 $ et 1 million de dollars (M$), tandis que 8 % ont déboursé entre 1 M$ et 5 M$.

« Ce n’est pas en contradiction avec ce que nous avons vu dans le monde, ou aux États-Unis, mais cela fait partie de cette tendance en cours », a observé Ryan Olson, vice-président de l’équipe Unit 42 de renseignement sur les menaces de Palo Alto Networks.

« Les rançons continuent d’augmenter alors que les acteurs des rançongiciels continuent de faire pression sur les victimes à travers plusieurs couches d’extorsion pour s’assurer que si elles sont compromises, il leur sera très, très difficile de récupérer sans payer la rançon. »

Lors de l’enquête réalisée auprès de plus de 1000 entreprises, 55 % des personnes interrogées ont indiqué que leur entreprise avait été victime d’une récente attaque de rançongiciel, et une sur cinq a affirmé que ce n’était pas la première fois que son organisation était ciblée.

Les entreprises sondées au Québec et en Ontario ont déclaré être les plus ciblées par les rançongiciels, tandis que celles de Terre-Neuve et du Nouveau-Brunswick ont été les moins attaquées.

Conti, une organisation qui serait établie en Russie, était le groupe de rançongiciels le plus actif au Canada, responsable de 31 attaques subies par les répondants.

Lockbit 2.0, Avaddon, PYSA et Clop étaient les autres groupes les plus actifs.

Les dommages qu’ils causent sont souvent substantiels, a souligné Ryan Olson.

Auparavant, les rançongiciels n’infiltraient qu’un seul ordinateur et chiffraient ses fichiers, mais maintenant ils vont plus loin, a-t-il expliqué.

« Les attaques de rançongiciels modernes ont un attaquant dans le réseau, qui passe du temps (…) pour comprendre où se trouvent les données les plus importantes pour l’entreprise, où se trouvent les machines virtuelles et les banques de données et tout ce qui alimente vraiment les activités de l’entreprise. »

Ensuite, les pirates localisent les sauvegardes et trouvent les données clés qu’ils peuvent voler et utiliser ultérieurement à des fins d’extorsion.

« Ils consacrent tout ce temps à l’avance pour pouvoir exécuter la routine de chiffrement, transmettre la note de rançon et appliquer une pression maximale », a-t-il affirmé.

La nature étendue des attaques fait en sorte que la récupération est longue, car certaines entreprises constatent que toutes leurs sauvegardes ont été chiffrées ou que celles qu’elles détiennent hors ligne ne sont pas à jour ou prendront beaucoup de temps à restaurer, a précisé Ryan Olson.

Alors que 41 % des répondants de l’enquête dont l’entreprise a été touchée par une attaque de rançongiciel ont pu s’en remettre en un mois, 58 % ont indiqué qu’il leur a fallu plus d’un mois pour récupérer.

Près de 30 % disent que cela a pris plus de trois mois et 9 % affirment que cela a pris plus de cinq ou six mois.

L’enquête a également révélé que près de la moitié des organisations qui n’ont pas payé de rançon ont pu s’en remettre en une semaine, ce qui suggère que leurs entreprises étaient préparées à une attaque ou que l’attaque n’était pas assez grave pour justifier un paiement.

Ryan Olson espère que la publication de ces résultats incitera les entreprises à prendre la cybersécurité au sérieux, si ce n’est pas déjà fait.

« Les organisations du monde entier, y compris le Canada, pourraient en faire plus pour s’assurer que leur réseau ne sera pas compromis », a-t-il estimé.