Ransomware : un mois de mai aux chiffres indûment gonflés par LockBit

En mai, ransomware.live a compté 558 publications sur des sites vitrine d’enseignes de ransomware, LockBit 3.0 en tête. Au total, après intégration des cas constatés dans la presse internationale et corrections des dates de survenue d’attaque, nous comptons 482 cyberattaques et revendications à travers le monde, un chiffre tout aussi record que celui des publications, mais potentiellement tout aussi trompeur.

Pour mémoire, à chaque fois qu’une enseigne cybercriminelle commence à divulguer des données présentées comme volées à sa victime lors de la cyberattaque, nous utilisons les dates de création de fichiers et de dossiers pour estimer la date à laquelle les événements se sont effectivement produits. 

Suivant cette méthode, sur 176 victimes revendiquées en mai 2024 sur la vitrine de LockBit 3.0, nous pouvons estimer avec un niveau de confiance élevé que 68 revendications portaient sur des faits antérieurs – et parfois de plusieurs mois. Cette propension à jouer avec les dates est encore plus marquée pour Black Basta : 15 des 19 revendications publiées en mai dernier se rapportent à des faits survenus antérieurement. 

Le début du mois de mai a été marqué par une nouvelle série de révélations sur LockBit 3.0 dans le cadre de l’opération Cronos, suivie d’une opération de communication de la franchise mafieuse. Les forces de l’ordre ont en outre révélé disposer de 7 000 clés de déchiffrement et appelé les victimes à les réclamer. 

Les groupes utilisant le ransomware de LockBit 3.0 sans lien avec la franchise ont toutefois continué à se multiplier, certains montant en gamme à l’instar de DragonForce. L’activité revendicatrice de RansomHub a poursuivi, en mai, sa progression entamée en mars. Celle de Play se maintient à un niveau élevé, bien qu’en recul par rapport à mars.

L’enseigne RansomHub serait liée à feu Knight. Elle a récemment servi à revendiquer la cyberattaque contre Change Healthcare, outre-Atlantique, et celle contre Christie’s, notamment.

Inc Ransom ne devrait plus beaucoup faire parler de lui – du moins sous ce nom : la franchise a mis en vente le code source de son rançongiciel mi-mai. Mais un tel maliciel n’est pas indispensable pour extorquer des entreprises : BitLocker suffit comme Kaspersky l’a rappelé en mai.

Et le ransomware n’est pas l’apanage unique des cybercriminels : la Corée du Nord s’y est mise, selon Microsoft, avec l’acteur Moostone Sleet.

L’Amérique du Nord s’inscrit toujours en tête des cas connus, listés à 253, soit un record. La région Asie-Pacifique a été fortement représentée avec 36 cas recensés, un niveau comparable à celui de l’Amérique latine et de la région Royaume-Uni/Irlande.

En France, la menace apparaît toutefois reculer d’un mois sur l’autre, et même sensiblement sur un an. Cybermalveillance.gouv.fr a ainsi reçu 117 demandes d’assistance pour ransomware en mai, hors particuliers, soit à peu près autant qu’en décembre 2023, et un recul sensible par rapport à mars. C’est un niveau nettement inférieur à celui de mai 2023 (156).