Negro Elkha - stock.adobe.com

Ransomware : un mois d’avril marqué par plusieurs nouveaux venus

En avril, le nombre de cyberattaques avec ransomware observées à travers le monde s’est maintenu malgré un fort recul de l’activité connue de Conti et celle limitée de Hive. Plusieurs nouvelles franchises sont venues le compenser.

Pour le mois d’avril 2022, nous avons compté près de 310 attaques avec ransomwares à travers le monde, soit un niveau comparable à celui du mois de mars, ainsi qu’à celui d’avril 2021, mais également à ceux des mois de septembre et novembre derniers.

L’Amérique du Nord continue d’être la région la plus affectée, et représente plus du tiers des cas connus. Mais deux autres régions se sont particulièrement démarquées en avril, l’Amérique latine et la région Allemagne-Autriche-Suisse. Trente victimes sont connues pour la première, un record inédit à ce jour, à attribuer notamment à Conti et à une série d’attaques concernant le Costa Rica. Pour la seconde région, près de 40 victimes ont été enregistrées le mois dernier.

LockBit – dont la version 3.0 du ransomware vient de faire son apparition – s’est encore une fois montré particulièrement agressif, en revendiquant plus de 90 victimes. De nombreux espoirs de tractations ont pu être observés, plusieurs revendications ayant été retirées avant d’être affichées à nouveau. Le niveau d’activité visible d’Alphv/BlackCat s’est maintenu. Mais celui de Conti s’est effondré, avec seulement 32 victimes revendiquées contre 62 en mars. Mais le niveau observé pour avril s’avère comparable à celui de février.

Ce ralentissement n’est peut-être que temporaire et potentiellement explicable par un changement d’outillage : le groupe semble avoir remplacé BazarLoader par BumbleBee pour s’inviter chez ses victimes.

La franchise Hive, qui avait fait évoluer son ransomware, notamment pour combler certaines failles algorithmiques, semble continuer à rencontrer des difficultés à recruter : seules 7 victimes ont été revendiquées pour des attaques conduites en avril.

Mais de nouveaux venus se sont invités sur le domaine, entre Black Basta, Mindware, Onyx ou encore Industrial Spy. Ce dernier affirme mettre en vente des données volées – à hauteur de près de 29 Go – au sein du système d’information du groupement hospitalier Cœur Grand Est. Une cyberattaque affecte ce dernier depuis le 19 avril. Industrial Spy indique avoir effectivement attaqué le groupement et téléchargé les données la veille. Une autre victime a pu être confirmée.

Pour approfondir sur Menaces, Ransomwares, DDoS