En 2023, le ransomware se trouvait dans le top 3 des cybermalveillances les plus courantes. Cette année, elle garde toujours cette place, mais la National Cyber Security Center (NCSC) prévoit encore plus de menaces mondiales en matière de ransomware. Cette augmentation imminente des attaques est liée à l’usage de l’intelligence artificielle par les cybercriminels. En effet, l’IA a permis d’amplifier et de faire évoluer toutes les formes de cyberattaques, notamment la prise en otage de données en échange de rançon.
Ransomware : des attaques plus sophistiquées grâce à l’IA
Pour être sûrs d’obtenir la rançon contre la clé qui va déchiffrer les données volées, les cybercriminels veulent développer des logiciels malveillants plus performants et efficaces. Et l’IA a contribué à la réalisation de ce souhait.
Ransomwares : avant et après l’intégration de l’IA
Ce n’est qu’à partir de 2005 que sont apparues les ransomawares distribuées en ligne telles que PGDCoder ou encore Archievus. Le malware employé infecte les systèmes Windows et cible les contenus personnels des utilisateurs. Il se sert de l’algorithme de chiffrement RSA et un mécanisme asymétrique de clé publique et privé pour rendre la tentative de déchiffrement plus difficile.
De 2007 à 2013, une augmentation exponentielle des ransomwares a été constatée avec le développement de l’internet, notamment les ransomwares Winlock et ses variantes. Appelés Locker, ces groupes de ransomwares avaient pour rôle de bloquer l’accès à l’ordinateur en affichant une fenêtre contenant une photo pornographique et une demande de paiement à l’aide d’un service de SMS surtaxé. Appelée « Locker », elle marque l’évolution du ransomware. Par la suite, les rançongiciels deviendront de plus en plus créatifs pour optimiser leurs chances d’être payés.
En 2013, l’émergence du ransomware CryptoLocker marque un tournant dans le développement des ransomwares avec l’utilisation d’un serveur de command & control. Ce dernier permet aux pirates de négocier avec les victimes et d’augmenter les chances d’obtenir la rançon. Ce serveur leur offre en effet l’opportunité de discuter avec la victime et d’allonger ou diminuer le temps avant la destruction des données. Puis, en 2016, Petya introduit les attaques de phishing ciblant les adresses professionnelles, en chiffrant l’ensemble du disque dur en faisant apparaître une tête de mort rouge à l’écran.
Jusqu’en 2021, le nombre d’incidents liés à des ransomwares augmente considérablement et les cyberattaques contre les sociétés d’envergure et les campagnes à grande échelle se sont multipliées. Le cas de WannaCry illustre bien cette situation. Cette stratégie appelée big game hunting implique une connaissance approfondie de l’environnement de la cible, permettant aux cybercriminels d’ajuster leurs demandes de rançon en fonction des informations obtenues. Le mécanisme de double extorsion fait également son apparition à cette période.
Il faut noter que l’essor de l’IA permet aux cybercriminels de créer des logiciels plus sophistiqués, donc plus dangereux. L’IA générative associée à l’ingénierie sociale donne la possibilité d’enquêter sur des cibles et de produire des deepfakes très convaincants. L’IA offre aussi l’opportunité de rendre les malwares plus difficiles à détecter. En plus d’affiner la sélection des victimes, cette technologie innovante peut aussi injecter des malwares polymorphes et métamorphes capables de changer de code de victime à victime ou de réécrire son code à chaque nouvelle infection.
Une des autres évolutions des groupes de ransomware a été l’apparition des plateformes de RaaS ou de ransomware-as-a-service. En effet, certains groupes tels que DarkSide commercialisent les ransomwares et vendent l’accès à des outils de ransomware pré-développés à des acheteurs avec ou sans compétence technique. Ils démocratisent ainsi les ransomwares. Face à ces menaces en constante évolution, il est essentiel pour les particuliers et les entreprises d’être en mesure d’identifier rapidement les attaques de ransomware avec des solutions également générées par l’IA comme MailSafe d’Altospam.
