Ransomware : un mois d’avril aux (faux) airs d’accalmie

En avril, nous avons compté 426 cyberattaques et revendications à travers le monde, un chiffre bien plus élevé qu’en janvier et mars, mais en léger retrait par rapport à février 2024, après corrections, et avril 2023. C’est une surprise : depuis le début de l’année, le niveau observé de la menace s’était inscrit à la hausse, sensiblement, en variation sur un an. 

Las, les affidés LockBit et BlackBasta, notamment, apparaissent parfois largement attendre avant de revendiquer leurs victimes, laissant à craindre une révision ultérieure, à la hausse, des comptes. En avril, 20 revendications ont été publiées sous la bannière de BlackBasta, dont rien moins que 16 se rapportaient en toute vraisemblance à des événements antérieurs. 

En avril, peu de revendications ont été publiées sur le site vitrine de la franchise LockBit 3.0 (26, dont 3 concernant des faits antérieurs). En mars, ce fut un festival de recyclage avec 55 revendications, mais seulement 20, au plus, concernant des faits survenus à cette période.

Dans la foulée de l’opération de police Cronos, en février, la franchise mafieuse avait multiplié les revendications de cyberattaques antérieures pour donner l’impression d’une reprise d’activité. Celle-ci a toutefois pu être confirmée dans le courant du mois de mars avec deux victimes revendiquées, pour lesquelles des cyberattaques avaient été rapportées dans la presse.

Il faut également compter avec des enseignes telles que Dispossessor (apparue fin mars et qui reprend massivement des revendications passées de LockBit 3.0). Cette pratique laisse à suspecter, au moins, une vitrine mise en place par un affidé de l’enseigne. À moins qu’il ne s’agisse des opérateurs de LockBit 3.0 eux-mêmes comme ils l’ont récemment affirmé.

L’Amérique du Nord s’inscrit toujours en tête des cas connus, listés à 215, soit un niveau comparable aux mois d’août, septembre et octobre derniers, mais toujours bien en recul par rapport à novembre. La région Asie-Pacifique a été fortement représentée avec 44 cas recensés, tandis que la région Allemagne-Autriche-Suisse (DACH) semble en avoir fini avec l’accalmie relative de mars, avec 26 cas connus. 

Le recul trompeur de la menace observé en mars, avec initialement 3 cas connus, corrigés à 5, a fait l’objet de 18 revendications et rapports dans les médias, au mois d’avril.

Sur le terrain, Antoine Coutant, responsable du CERT Synetis, fait notamment état d’un détournement de compte Microsoft 365, sur lequel l’authentification à facteurs multiples (MFA) n’était pas activée, à fin de phishing interne « massif ». En outre, indique-t-il, « tout comme mars dernier chez une autre victime, le groupe Medusa Locker nous a occupés sur un dossier avec la même procédure : déploiement manuel du rançongiciel à partir de sessions RDP peu sécurisées ».

Cybermalveillance.gouv.fr a ainsi reçu 146 demandes d’assistance pour ransomware en avril, hors particuliers, soit à peu près autant qu’en février, et un recul sensible par rapport à mars. C’est un niveau sensiblement inférieur à celui d’avril 2023 (169) et comparable à celui de septembre dernier.

Nota : cette édition de notre bulletin météoransom mensuel a été fortement retardée par un changement de processus engagé en début d’année et récemment renforcé. Désormais, nous intégrons étroitement et de manière semi-automatisée la liste des revendications de ransomware.live avec la liste des publications dans les médias alimentant notre Cyberhebdo, ainsi qu’une liste d’estimations de date de survenue de cyberattaque. Cette dernière est basée sur les dates de création de fichiers et de dossiers constatées à l’occasion des divulgations de données des cybercriminels. Cet effort programmatique vise à rendre nos analyses plus transparentes et reproductibles afin d’améliorer l’observabilité générale du niveau de la menace.