ryanking999 - stock.adobe.com
Ransomware : une rentrée… comme celle de 2021
La désormais habituelle trêve estivale passée, les offensives ont repris dans le monde entier. La France n’est pas épargnée. Mais loin d’être explosive ou affolante, la menace semble se maintenir au niveau de septembre 2021.
Pour le mois de septembre 2022, nous avons compté près de 260 attaques avec ransomwares à travers le monde, soit un niveau comparable à celui de septembre 2021 (263). Ces observations confortent celles faites pour les mois de juillet et août : il y a bien eu trêve estivale, mais elle s’est avérée modérée et comparable à celle de l’an passé.
Cela vaut d’ailleurs pour les neuf premiers mois de l’année : jusqu’ici, l’activité des cyberdélinquants en matière de ransomware et, plus généralement, de cyberextorsion suit les mêmes hausses et baisses saisonnières, avec une intensité comparable. On est donc bien loin, en 2022, de l’explosion observée en 2021 par rapport à l’année précédente, même si mars et avril se sont avérés particulièrement détonants.
Mais encore une fois, toutes les régions du monde ne sont pas concernées de la même manière. En Amérique du Nord, le rebond, d’un mois à l’autre, est ainsi assez conséquent, avec plus de 107 cyberattaques. Le palier 100 n’avait pas été franchi pour la région depuis le mois d’avril. La région Allemagne-Autriche-Suisse (DACH) a renoué avec le niveau antérieur à l’été, de même le Royaume-Uni et l’Irlande.
En fait, c’est en Asie-Pacifique et en Amérique latine que la reprise est la plus impressionnante, avec 41 attaques pour la première, et 25 pour la seconde. Par l’Amérique latine, ce volume fait de septembre 2022 le second mois le plus intense sur un an. Pour la région Asie-Pacifique, c’est tout simplement le premier.
La franchise LockBit, avec sa version 3.0, a encore dominé le paysage de la menace en septembre. Elle s’est notamment fait remarquer par la publication d’une quinzaine de revendications de cyberattaques contre des organisations françaises. Mais celles-ci étaient trompeuses. Nous avons pu établir que pour trois d’entre elles, la cyberattaque est en fait survenue en juin. Les autres – à l’exception d’une – semblent ne faire qu’une et concerner un infogéreur commun aux victimes. Nous avons redressé nos chiffres en conséquence.
Les revendications du côté de la franchise Black Basta, en septembre, se sont avérées tout aussi trompeuses : l’attaque contre Cremo, revendiquée le mois dernier, est en fait survenue en juillet. Ce n’est toutefois pas une surprise : nous nous étions déjà penchés, au début de l’été, sur les délais de revendication associés à cette franchise.
Une nouvelle franchise apparue en septembre, Sparta, semble avoir choisi de jouer, au moins pour ses débuts, le même jeu que certains affidés de LockBit : l’essentiel de ses revendications pour septembre ne concerne en fait qu’une seule et même victime, une entreprise de services numériques (ESN). Des chercheurs en cybersécurité ont pu nous le confirmer.
Une importante série de revendications impliquant Medusa Locker est également apparue en septembre, mais avec encore une fois une datation difficile.
Le mois de septembre a réservé plusieurs mauvaises surprises, à commencer par de nouvelles vulnérabilités inédites de Microsoft Exchange décrites comme activement exploitées. Celles-ci viennent allonger une liste déjà tristement bien connue.
Une autre vulnérabilité inédite a fait parler d’elle, affectant les systèmes de téléphonie sur IP Mitel. Un courtier en accès initiaux a affirmé y avoir un accès exclusif. Le groupe Lorenz l’a notamment mise à profit.
SentinelOne souligne de son côté une tendance au chiffrement partiel, adopté notamment par Alphv/BlackCat et Black Basta, afin d’accélérer le chiffrement tout en le rendant plus discret. Justement, concernant BlackCat, celui-ci apparaît désormais distribué directement par Emotet. Quantum en profiterait également.
La franchise LockBit 3.0 a été affectée par la fuite de son « builder », l’outil permettant de générer, pour une victime donnée, le rançongiciel ainsi que l’outil de déchiffrement associé. Si cela peut constituer une opportunité pour les chercheurs et analystes, c’est également le cas pour les cyberdélinquants. Le gang Bl00dy a été observé commençant à s’en servir. VX-Undergrood a également publié une interview éclairante avec l’un des opérateurs de la franchise LockBit 3.0.
Un nouveau groupe, sans affidés, a par ailleurs fait son apparition, Royal, s’appuyant sur des cyberdélinquants expérimentés et recrutés de manière très sélective.
Du côté des bonnes nouvelles, Avast a produit un outil de déchiffrement pour Hades. Bitdefender et Europol avaient, quelques jours plus tôt, rendu public un tel outil pour LockerGoga.