concept w - stock.adobe.com

Ransomware : une fin d’année calme malgré des impressions contraires

Les revendications de cyberattaques ont été nombreuses en décembre. Mais beaucoup ont porté sur des opérations antérieures, et non revendiquées jusque-là. Le calme était marqué dans l’Hexagone.

En décembre, nous avons recensé 365 cyberattaques et revendications à travers le monde, soit autant qu’au mois de juillet 2023. Au passage, nous avons relevé notre compte pour novembre de 467 à 487.

Ces ajustements sont encore une fois notamment dus aux corrections rendues nécessaires par les pratiques de certains affidés de la franchise mafieuse LockBit 3.0, déjà observées en septembre et durant l’été de l’an passé : de nombreuses revendications publiées portaient en fait sur des événements parfois bien antérieurs. 

Ainsi, dans le détail, nous attribuons 72 cyberattaques à LockBit 3.0 en décembre, contre 88 en novembre, 67 en octobre, 71 en septembre, et 126 en août. 

Après cette franchise, Play et Alphv/BlackCat se sont montré les plus démonstratifs, suivis par 8base et BlackBasta. Après une entrée en scène remarquée, Hunters International a réduit son rythme en décembre.

L’Amérique du Nord s’inscrit toujours en tête avec 183 cas en décembre, contre 20 pour la région Allemagne/Autriche/Suisse, de même que pour la région Amérique Latine. Le Benelux s’inscrit légèrement devant avec 21 cas. La France recule sensiblement dans le classement avec seulement une dizaine de cas identifiés, en recul marqué par rapport à novembre.

Dans l’Hexagone, justement, cybermalveillance.gouv.fr a reçu, en décembre, 124 demandes d’assistance de la part d’entreprises et de collectivités. Ce chiffre est le plus bas sur un an. 

Nos confrères de ZDnet ont toutefois appris que la section cyber du parquet de Paris a ouvert 512 enquêtes pénales pour cyberattaque en 2023, en hausse d’environ 20 % sur un an. 

Une activité aux motivations troubles

Le mois de décembre a été marqué par un nombre important de revendications aux motivations parfois troubles, que nous avons choisi de ne pas comptabiliser. 

Ainsi le groupe Werewolves, dont la vitrine est apparue en fin d’année, semble s’apparenter à un affidé de LockBit 3.0 ayant choisi d’ouvrir sa propre vitrine. Avec une particularité remarquée : la revendication de nombreuses victimes en Russie. 

Un autre groupe, Raznatovic, est apparu recycler des activités plus ou moins anciennes. Les revendications de SiegedSec semblent nécessiter une qualification plus approfondie, tandis que celles de Toufan et Malekteam apparaissent fortement teintées par des motivations plus politiques que pécuniaires, avec de nombreuses victimes en Israël. 

Et pour mémoire, le groupe NoEscape a mis la clé sous la porte – sans rendre les clés – tout en partant avec son butin

Des rançongiciels à bas coût

Mais les barrières à l’entrée pour les attaquants en devenir ont encore été abaissées récemment. Le code source du ransomware Zeppelin a ainsi été mis en vente pour 500 $ – son successeur vient d’émerger. Le builder d’un nouveau venu, Reskull, est proposé pour 480 $.

Parallèlement, SentinelOne a alerté sur le déploiement de Mallox à partir de l’exploitation des vulnérabilités CVE-2019-1068 et CVE-2020-0618 contre les instances MS-SQL. 

Sur le front des bonnes nouvelles, une faille dans le chiffrement du ransomware de Black Basta a ouvert la voie au développement d’un outil de déchiffrement – partiel pour les gros fichiers.

Un suspect lié à Hive a été arrêté à Paris, en décembre. Le groupe Alphv/BlackCat a fait les frais d’une opération des forces de l’ordre, mais sans que cela ne mette un terme à ses activités ni ne pénalise durablement son infrastructure. Qakbot, frappé de la sorte en août dernier, a quant à lui fait son retour.

Pour approfondir sur Menaces, Ransomwares, DDoS