zephyr_p - stock.adobe.com
Ransomware : un mois de juin entre espoirs douchés et nouvelles menaces
Le mois écoulé a été marqué par des arrestations dans l’entourage de Cl0p, sans grand effet, et par l’apparition de nouveaux gangs pratiquant la double extorsion.
Pour le mois de juin, nous avons compté près de 220 attaques de ransomware à travers le monde, soit le niveau le plus bas depuis le début de l’année. Mais il est probable que ce compte devra être revu à la hausse, ne serait-ce qu’avec l’activité de gangs tels que celui qui emploie le rançongiciel Pysa – il ne lève le voile sur ses victimes que plusieurs mois après la survenue de l’attaque. En outre, Nefilim, dont quelques échantillons récents ont pu être observés, n’apparaît plus vraiment communiquer sur ses victimes.
Ce compte, pour le mois de juin, apparaît refléter la disparition du groupe Avaddon, qui a rendu les clés il y a deux semaines. On ne lui compte que 12 victimes le mois dernier, contre 55 en mai. Et justement, pour mai, nous avons ajusté notre compte à 270 attaques connues. Le gang exploitant le ransomware Conti est quant à lui resté aussi agressif en juin qu’en mai, avec 56 victimes identifiées le mois dernier, contre 59 au précédent.
En revanche, la franchise Revil, avec Sodinokibi, a considérablement accéléré ses activités, avec 42 attaques relevées en juin, contre 21 pour le mois de mai. Cela correspond en fait au niveau d’activité observée en avril. Mais le gang semble toujours peiner à concrétiser ses ambitions : peu de victimes apparaissent en fait payer, et la majorité des négociations observées le mois dernier font ressortir d’importantes concessions.
Disparition, coup de filet, et apparitions
Mi-juin, les opérateurs d’Avaddon ont donc créé la surprise en mettant un terme à leurs activités. Certains attaquants travaillant en partenariat avec eux se seront probablement tournés vers d’autres Ransomware-as-a-Service (RaaS).
Et justement, de nouveaux programmes de ce type ont fait leur apparition courant juin : Hive et Vice Society. Et cela tandis que LockBit faisait son retour avec une nouvelle version 2.0, mais sans revendiquer encore de victime sur le site vitrine correspondant. Si cela ne suffisait pas, le code source complet du rançongiciel Paradise a été rendu public sur un forum russophone ; de quoi laisser émerger de nouvelles vocations.
Les équipes de Fortinet ont par ailleurs observé une nouvelle famille de ransomware, baptisée Diavol, et distribuée via Trickbot. Des liens avec Conti et Egregor seraient possibles.
De leur côté, les équipes de Sekoia relèvent l’apparition de nouveaux rançongiciels supplémentaires : Ever101, Darkradiation, Tarrak, The Arcane, Chaos, et Himalaya. Elles soulignent également que des cybercriminels tentent d’exploiter la notoriété de certains groupes pour s’en réclamer et intimider leurs cibles… sans pour autant déployer de véritable ransomware.
Du côté des bonnes nouvelles, il a été possible de compter avec l’apparition d’un outil de déchiffrement gratuit pour le ransomware Lorenz. Mais également avec l’arrêt, par les autorités, du service DoubleVPN, utilisé notamment par des gangs de cybercriminels pour cacher leurs traces. Six personnes impliquées dans les activités des opérateurs du rançongiciel Cl0p ont également été interpelées. Las, il ne s’agissait que de mules et le groupe a déjà montré que ses activités se poursuivaient. Le rôle joué par Binance dans cette opération souligne toutefois l’aide que peut apporter le suivi des flux financiers liés au paiement des rançons, dans la lutte contre la cybercriminalité.
Le retour de Babuk
Fin avril, les opérateurs de Babuk annonçaient la fin de leurs activités, après seulement quelques mois. Ils promettaient alors deux choses : rendre leur code source publiquement accessible, et se contenter de volet des données, sans les chiffrer. Un peu plus tard, le projet changeait : il s’agissait désormais d’ouvrir une place de marché pour la vente de données volées. Aujourd’hui, Babuk fait son retour et pas d’une seule manière, mais de deux.
La première tient à un outil de création du rançongiciel original, repéré initialement par Kevin Beaumont. Pleinement fonctionnel, il serait déjà très utilisé : selon nos confrères de Bleeping Computer, le service ID Ransomware connaît depuis la fin juin une recrudescence de soumissions d’échantillons de Babuk. Surtout, le gang l’assure : « c’est l’ancienne version qui a été publiée. La nouvelle version est toujours utilisée pour les réseaux d’entreprises ».
En France, un rythme toujours soutenu
Dans l’Hexagone, nous avons compté plus de 25 cyberattaques avec rançongiciel au mois de juin, soit plus qu’au mois de mai, mais bien moins qu’au mois d’avril. Parmi les victimes, on compte notamment Camaïeu, le groupe Assu 2000, ou encore la ville de Villepinte.
Les données de la plateforme Cybermalveillance.gouv.fr reflètent toutefois une légère accalmie, le mois dernier, par rapport au précédent, avec 116 demandes d’assistance émises par des entreprises ou des associations, 24 administrations ou collectivités, et 40 particuliers. Pour mémoire, le directeur général du GIP Acyma, Jérôme Notin, faisait état de 215 demandes d’assistance en mai – dont 17 administrations ou collectivités et 132 entreprises ou associations explicitement qualifiées.
En avril, il avait recensé 260 demandes d’assistance, dont seulement 149 pour des entreprises ou associations explicitement qualifiées. Pour mémoire, la plateforme cybermalvaillance.gouv.fr a enregistré 235 demandes d’assistance en mars, 288 en février, 228 en janvier, 212 en décembre, 234 en novembre, 169 pour octobre et 131 en septembre.
De son côté, Frédérique Bajat, responsable Cyber-Threat Intelligence d’Intrinsec, indique que celui-ci n’a traité aucun incident impliquant un rançongiciel, au cours du mois de juin : « cette baisse est perçue comme étant en lien avec le démantèlement du groupe d’attaquants DarkSide et les récents mouvements observés dans les groupes de cybercriminels ».
Mais chez I-Tracing, Laurent Besset indique que lui et ses équipes « n’avons pas vraiment l’impression que le rythme a ralenti après les quelques actions réussies des autorités contre certains groupes. J’ai des doutes sur la prise avec la réalité opérationnelle de ceux que j’entends ou lis dire cela depuis quelques semaines… » En juin, ses équipes sont intervenues sur 18 cas, dont 4 graves. Et Ryuk est revenu dans le top 3 des menaces, avec Dharma et Cl0p.
En particulier, concernant Ryuk, le directeur cyberdéfense d'I-Tracing explique que « nous avons rencontré pour la première fois un cas de chiffrement directement au niveau datastore d’un ESXi, soit une approche bien plus performante que de chiffrer unitairement les VM qui tournent dessus. Cela fait un moment que nous en entendions parler dans la littérature mais nous ne l’avions encore jamais vu ».