Rawf8 - stock.adobe.com
Ransomware : la menace retrouve des niveaux record
En mars, le nombre de cyberattaques avec ransomware observées à travers le monde a fortement progressé par rapport aux deux premiers mois de l’année. Et rien ne semble annoncer une éventuelle accalmie.
Pour le mois de mars 2022, nous avons compté plus de 320 attaques avec ransomwares à travers le monde, soit un niveau approchant celui – record – d’octobre 2021. Si, pour les deux premiers mois de l’année, l’intensité de la menace pouvait paraître comparable à celle de début 2021, elle semble s’être accentuée sensiblement le mois dernier. Surtout, en un trimestre, nous atteignons déjà près de la moitié du nombre d’attaques connues en 2020.
L’Amérique du Nord continue d’être la région la plus affectée, mais comme en février, elle représente moins du tiers des cas connus : les victimes semblent se diversifier géographiquement. La région Asie-Pacifique s’installe en seconde position pour le second mois consécutif, tout juste devant la zone Allemagne-Autriche-Suisse, qui apparaît de plus en plus particulièrement touchée.
Au cours du mois écoulé, LockBit s’est encore une fois montré particulièrement agressif, en revendiquant plus de 110 victimes – même si ces revendications doivent toujours être prises avec une prudence toute particulière, et vérifiées après divulgation des données des organisations concernées. De son côté, le groupe Conti a clairement repris ses activités, avec 61 victimes revendiquées en mars, soit plus qu’en janvier et février combinés. Manifestement, les fuites qui ont frappé la franchise ne semblent pas affecter ses activités, loin de là. Alphv/BlackCat continue pour sa part sa montée en puissance, tandis qu’Everest semble sortir d’une certaine torpeur, de même que Vice Society, Cuba ou encore SunCrypt.
Si la franchise Hive a fait évoluer son ransomware, notamment pour combler certaines failles algorithmiques, elle semble rencontrer des difficultés à recruter. Mais ses opérateurs ont adopté une technique additionnelle de maquillage de leur code afin de réduire les possibilités de détection, et sont passés à Rust pour la version Linux de leur outil de chiffrement. Selon Trend Micro, un nouveau ransomware, baptisé Nokoyawa, pourrait être lié à Hive.
Le langage Rust est également utilisé par AvosLocker pour l’exfiltration de données. Les opérateurs de la franchise ont récemment annoncé des mises à jour majeures, portant notamment sur l’expérience utilisateur et l’interface de négociation. De leur côté, les opérateurs de LockBit ont récemment annoncé une version 3.0 de leur offre de rançongiciel en mode service.
Mais le « marché » apparaît toujours plus dense. De nouveaux ransomwares ont fait leur apparition en mars : IceFire, Vovabol, LokiLocker, ou encore RURansom, qui semble être utilisé de manière ciblée sur des organisations russes.