Depuis 2018, les attaques de ransomware contre le secteur financier ont coûté à l'économie mondiale 32,3 milliards de dollars rien qu'en temps d'arrêt.
De 2018 à juin 2023, 225 organisations financières ont été touchées par une attaque de ransomware. Nous estimons que ces entités ont perdu plus de 32,3 milliards de dollars rien qu'en temps d'arrêt.
Une attaque de ransomware contre une entreprise financière, par ex. une banque, une compagnie d’assurance ou un cabinet comptable peut potentiellement provoquer un chaos massif avec des systèmes cryptés et mettre en danger des données sensibles cruciales.
Pour découvrir à quel point les attaques de ransomware peuvent être dévastatrices sur le secteur financier, nous avons examiné les 225 cas confirmés d’attaques contre ces entreprises dans le monde entier. Grâce à notre système mondial de suivi des ransomwares, nous avons exploré chaque attaque en détail pour déterminer le temps d'arrêt provoqué, la quantité de données volées, les demandes de rançon et si les rançons ont été payées ou non.
Veuillez noter: Même si nous avons enregistré un plus grand nombre d’attaques dans un pays que dans un autre, cela ne signifie pas nécessairement qu’il est davantage « ciblé » par les attaquants. Au contraire, la sensibilisation et le signalement de ces attaques pourraient être plus approfondis. Par exemple, les outils de signalement des violations de données et les réglementations en vigueur dans de nombreux États américains contribuent à confirmer ces attaques. Ces mêmes outils et réglementations n’existent pas dans de nombreux autres pays.
Principales conclusions:
De 2018 à juin 2023, nous avons constaté :
- 225 attaques de ransomware confirmées contre des organisations financières, 2021 étant l'année la plus touchée avec 86 attaques au total
- Plus de 32,3 millions de dossiers individuels ont été violés à la suite de ces attaques – au moins
- Les demandes de rançon variaient entre 180 000 et 40 millions de dollars.
- En moyenne, les pirates ont exigé 6,9 millions de dollars, ce qui suggère qu'environ 2,14 milliards de dollars de rançon ont été demandés au total.
- Les pirates ont reçu 44,2 millions de dollars de rançon pour seulement cinq attaques.
- Le temps d'arrêt variait d'un jour à 52 jours
- Le temps d'arrêt moyen dû aux attaques a été constamment élevé au cours des dernières années (variant de 10 jours à 14 jours).
- Le coût global des temps d'arrêt est estimé à 32,3 milliards de dollars
- Les compagnies d'assurance ont connu le plus grand nombre d'attaques (65)
- LockBit était la souche de ransomware la plus dominante en 2022, mais a été dépassée par BlackCat/ALPHV en 2023 (jusqu'à présent). REvil et Conti ont été les plus prolifiques en 2021, tandis que Maze a mené le plus d'attaques (où la souche ransomware est confirmée) en 2019/20.
Attaques de ransomware contre les sociétés financières par mois et par année
Comme nous l’avons déjà noté, 2021 a été l’année la plus importante en matière d’attaques de ransomware contre les sociétés financières avec 86 au total. 2020 a été la deuxième année la plus importante avec 56.
Même si le nombre d’attaques de ransomwares a considérablement diminué en 2022 (seulement 39 au total), cela reflète la tendance générale de l’année dernière. Toutefois, l’année 2023 s’annonce comme marquée par une augmentation significative des attaques de ransomwares.
Jusqu'à fin juin 2023, notre équipe a enregistré 24 attaques confirmées de ransomware contre des sociétés financières. C’est beaucoup plus que les 16 enregistrés au cours de la même période de 2022. De nombreuses attaques ne sont confirmées qu’environ un mois après l’incident, nous nous attendons donc à voir ces chiffres augmenter encore davantage.
Les pirates informatiques semblent également s’en prendre aux « grosses entreprises » disposant d’une mine de données. En volant de grandes quantités de données et en chiffrant les systèmes, les pirates augmentent leurs chances de recevoir une rançon. De même, même si une organisation ne parvient pas à payer, les données financières personnelles seront récupérer une prime sur le dark web .
En 2022, un peu plus de 3,5 millions d’enregistrements ont été confirmés comme étant impactés par des attaques de ransomwares. Jusqu'à présent cette année, un peu plus de 14 millions de dossiers ont été touchés. La grande majorité d’entre eux proviennent de l’attaque contre la société australienne Latitude Financial, au cours de laquelle 14 millions de dossiers ont été touchés. Initialement, la société avait déclaré que 328 000 personnes avaient été touchées, mais dans un rapport de violation mis à jour, elle a indiqué que jusqu'à 14 millions de personnes pourraient être touchées. L'organisation a refusé de payer la rançon et propose de l'aide aux clients concernés via IDCARE.
15 millions de dossiers supplémentaires ont été volés à la Bank Syariah Indonesia par LockBit, mais, comme nous l'expliquons ci-dessous, cela n'a pas encore été confirmé par la banque et n'a donc pas été inclus dans l'analyse.
- Nombre d'attaques :
- 2023 (jusqu’en juin) – 24
- 2022 – 39
- 2021 – 86
- 2020 – 56
- 2019 – 13
- 2018 – 7
- Nombre d'enregistrements impactés :
- 2023 (jusqu’en juin) – 14 002 968
- 2022 – 3 513 240
- 2021 – 4 143 682
- 2020 – 15 331 455
- 2019 – 172 376
- 2018 – 26 155
- Temps d'arrêt moyen :
- 2023 (jusqu’en juin) – 14 jours
- 2022 – 10 jours
- 2021 – 14 jours
- 2020 – 9 jours
- 2019 – 8 jours
- 2018 – 8 jours*
- Temps d'arrêt provoqué (cas connus) :
- 2023 (jusqu’en juin) – 158 jours (11 cas)
- 2022 – 76 jours (8 cas)
- 2021 – 244 jours (17 cas)
- 2020 – 83 jours (9 cas)
- 2019 – 32 jours (4 cas)
- 2018 – S.O.*
- Estimation du temps d'arrêt causé (basé sur les cas connus et la moyenne dans les cas inconnus) :
- 2023 (jusqu’en juin) – 340 jours
- 2022 – 386 jours
- 2021 – 1 210 jours
- 2020 – 506 jours
- 2019 – 104 jours
- 2018 – 56 jours
- Coût estimé des temps d'arrêt :
- 2023 (jusqu’en juin) – 4,2 milliards de dollars
- 2022 - 4,8 milliards de dollars
- 2021 – 15,1 milliards de dollars
- 2020 - 6,2 milliards de dollars
- 2019 - 1,3 milliard de dollars
- 2018 – 698,5 millions de dollars
*Aucun chiffre sur les temps d'arrêt n'était disponible pour 2018, c'est pourquoi la moyenne de 2019 a été utilisée.
Le véritable coût des attaques de ransomware contre les organisations financières
Comme nous l’avons noté en introduction, les demandes de rançon variaient entre 180 000 et 40 millions de dollars. Ce dernier a été exigé par Phoenix CryptoLocker de CNA Financial Corporation (une compagnie d'assurance basée aux États-Unis). Ce qui est peut-être encore plus surprenant, c’est que l’organisation aurait payé la rançon deux semaines après le cryptage de ses systèmes et le vol de ses données.
D’autres demandes de rançon élevées incluent :
- Banque indonésienne de la charia – 20 millions de dollars : En mai 2023, BSI a été la cible de LockBit qui a exigé une rançon de 20 millions de dollars. La banque a refusé de payer et LockBit a depuis divulgué 1,5 To de données qui contiendraient les informations personnelles et financières de 15 millions de clients. BSI n’a pas encore confirmé ce chiffre, il n’a donc pas été inclus dans notre analyse globale.
- Un appel – 21,15 millions de dollars : La compagnie d'assurance basée au Royaume-Uni, One Call, a reçu une rançon de 15 millions de livres sterling de la part de DarkSide en mai 2021. Aucune confirmation n'a été donnée quant à savoir si la société a payé la rançon, mais il a fallu environ 12 jours pour que les systèmes soient restaurés.
Sur la base des données disponibles, nous avons pu déterminer ce qui suit (aucune donnée n'était disponible pour 2018) :
- Demande de rançon moyenne :
- 2023 (jusqu’en juin) – 9,3 millions de dollars
- 2022 – 892 335 $
- 2021 – 20,5 millions de dollars
- 2020 – 4,1 millions de dollars
- 2019 - 1,7 million de dollars
- Rançon demandée (cas connus) :
- 2023 (jusqu’en juin) – 28 millions de dollars (3 cas)
- 2022 – 4,5 millions de dollars (5 cas)
- 2021 – 61,6 millions de dollars (3 cas)
- 2020 – 12,3 millions de dollars (3 cas)
- 2019 – 3,4 millions de dollars (2 cas)
- Rançon totale payée (cas connus) :
- 2023 (jusqu’en juin) – N/A
- 2022 – 1,5 million de dollars (2 cas)
- 2021 – 40,4 millions de dollars (2 cas)
- 2020 – N/A
- 2019 - 2,3 millions de dollars (1 cas)
Ce qui est clair, c’est que les demandes de rançon restent extrêmement élevées pour le secteur financier. Mais avec les temps d’arrêt et les données sensibles en jeu, il n’est pas vraiment surprenant que les pirates tentent de tirer profit de l’urgence de rendre les systèmes opérationnels et/ou de protéger les données.
Ajout de temps d'arrêt
Les temps d’arrêt sont l’un des facteurs les plus cruciaux impliqués dans une attaque de ransomware. Si une organisation dispose d’une sauvegarde, elle peut restaurer ses systèmes rapidement, ce qui contribuera à maintenir les coûts au minimum (au moins pendant les temps d’arrêt – cela ne tient pas compte des données volées).
Grâce aux données que nous avons rassemblées, nous avons pu déterminer l’ampleur des temps d’arrêt causés par les attaques de ransomwares dans le secteur financier. Des systèmes entiers peuvent tomber en panne pendant des jours, des semaines, voire des mois, provoquant de graves perturbations pour l'entreprise et ses clients. Comme le suggèrent nos dernières conclusions, les organisations financières perdent en moyenne deux semaines d’arrêt lorsqu’elles sont touchées par une telle attaque.
Selon un rapport en 2017 , le coût moyen des temps d'arrêt (dans 20 secteurs différents) est de 8 662 $ par minute. Cela signifie que les sociétés financières du monde entier ont perdu environ 32,3 milliards de dollars en raison des temps d'arrêt dus aux attaques de ransomwares.
Même si ces coûts peuvent sembler extrêmement élevés, ils sont conformes à certains chiffres publiés par les organisations touchées par les ransomwares. Par exemple, Latitude Financial, dont nous avons parlé plus tôt, a signalé un coût compris entre 95 et 105 millions de dollars australiens (64 à 71 millions de dollars américains) à la suite de son attaque.
UN Etude 2017 par Information Technology Intelligence Consulting (ITIC) estime le coût horaire des temps d'arrêt dans le secteur bancaire/financier à 9,3 millions de dollars. C’est nettement plus élevé que l’estimation que nous avons utilisée (qui équivaudrait à 519 720 $).
En l’absence d’études récentes ou spécifiques sur les temps d’arrêt dans le secteur financier, nous avons choisi d’opter pour le chiffre le plus bas de 8 662 $ par minute. Cependant, si l’on utilise les chiffres d’ITIC, les temps d’arrêt dus aux ransomwares pourraient coûter aux organisations financières jusqu’à 580,7 milliards de dollars.
Le secteur financier est une cible clé pour les pirates informatiques ransomwares
La baisse des attaques de ransomwares l’année dernière a peut-être été un soulagement bienvenu, mais, comme le montrent nos chiffres pour le premier semestre de cette année, il est probable que cela n’ait été que de courte durée. De même, nous avons noté un changement dans le discours autour des ransomwares l’année dernière, de nombreuses organisations évitant d’utiliser le mot « ransomware » pour décrire un cyberincident.
Cette année, davantage de victimes semblent admettre avoir subi une attaque de ransomware. Cela pourrait être dû en partie à des attaques à grande échelle comme celles de Fortra et MOVEit. (Celles-ci ne sont incluses dans notre système mondial de suivi des ransomwares que sous forme d’attaques uniques, de sorte que chaque victime n’est pas enregistrée séparément).
Cependant, quel que soit le discours autour des ransomwares, la menace reste élevée. Alors que les pirates informatiques optent de plus en plus pour la double extorsion, les organisations financières sont non seulement confrontées au souci des temps d'arrêt, mais aussi du vol de données. Certaines attaques clés jusqu'à présent cette année incluent Latitude Financial, Globalcaja, FIIG Securities, Fullerton India et Bank Syariah Indonesia.
Méthodologie
En utilisant la base de données de notre carte des attaques de ransomwares, nos recherches ont révélé 225 attaques de ransomwares financiers au total. À partir de ces données, nous avons pu déterminer le montant des rançons, si les rançons ont été payées ou non, ainsi que les temps d'arrêt provoqués.
Si aucun chiffre spécifique n'était donné pour le temps d'arrêt, c'est-à-dire « plusieurs jours », « un mois » ou « retour à 80 % après 6 semaines » étaient cités, nous avons créé des estimations à partir de ces chiffres sur la base du chiffre le plus bas possible. Par exemple, plusieurs jours ont été calculés comme étant 3, un mois a été calculé comme le nombre de jours du mois au cours duquel l'attaque s'est produite et le nombre de semaines indiqué dans les déclarations de pourcentage de récupération a été utilisé (par exemple, 6 semaines selon l'exemple précédent).
Pour une liste complète des sources, veuillez consulter notre traqueur mondial de ransomwares.