Ransomware : un mois de juin marqué par le silence de LockBit 3.0

En juin 2024, ransomware.live a compté 421 publications sur des sites vitrine d’enseignes de ransomware, Play et RansomHub en tête. Au total, après l’intégration des cas constatés dans la presse internationale et les corrections des dates de survenue d’attaque, nous comptons 348 cyberattaques et revendications à travers le monde, un chiffre en retrait par rapport au mois de juin 2023. Une première depuis le début de l’année, mais un chiffre potentiellement trompeur.

Ainsi, le mois de juin a été marqué par le silence quasi total de la franchise LockBit 3.0 : seules 11 revendications de victimes sont apparues, le mois dernier, sur son site vitrine, dont 6 se sont avérées se rapporter à des événements antérieurs. La seconde vague de révélations de l’opération Cronos, début mai, semble porter ses fruits et affecter significativement l’écosystème d’affidés de LockBit 3.0. Mais dans quelle mesure ?

Certains affidés pourraient avoir décidé de rejoindre d’autres enseignes. Celui qui a revendiqué, en avril, l’attaque contre Consulting Radiologists pourrait être passé chez Qilin, en mai. L’affidé responsable de la revendication concernant Longview OMS, fin mai, pourrait quant à lui avoir prêté allégeance à BianLian. Et un troisième pourrait être passé chez DonutsLeak. Mais ce n’est pas tout.

Le rançongiciel de LockBit apparaît très populaire, même si c’est pour être utilisé hors du giron de la franchise éponyme. Les cybercriminels l’exploitant sont en nombre croissant. Certains sont plus avancés que d’autres dans la structuration de leurs activités, comme Brain Cipher, DragonForce et SenSayQ. Group IB en a encore récemment découvert un nouveau : Estate Ransomware.

Considéré comme un affidé LockBit de longue date, Dispossessor avait ouvert sa propre vitrine en 2023 et il apparaît désormais travailler lui aussi avec le rançongiciel de la franchise, mais sans s’appuyer sur son infrastructure, en indépendant.

En outre, il n’est pas à exclure que Play ou RansomHub ait profité d’un transfuge venu de LockBit – ce qui aiderait à expliquer leur niveau d’activité élevé en juin.

Début juin, Arctic Wolf a publié un rapport sur une nouvelle enseigne dont le site vitrine n’est pas encore publiquement connu : Fog Ransomware. Celui-ci peut être déployé sur les systèmes Windows et Linux/ESXi. Ses activités pourraient avoir démarré fin avril. TargetCompany – aussi connu sous le nom de Mallox – s’est en outre doté récemment d’un variant Linux.

L’Amérique du Nord s’inscrit toujours en tête des cas connus, listés à 179, soit un recul très significatif sur un mois et un retour à un niveau comparable à celui de juin 2023. La région Asie-Pacifique a été fortement représentée avec 41 cas recensés, prenant ainsi la seconde place d’un podium peu envié.

En France, le recul de la menace est marqué sur un an, malgré un léger rebond sur un mois. Cybermalveillance.gouv.fr a ainsi reçu 129 demandes d’assistance pour ransomware en juin, hors particuliers, contre 168 un an plus tôt, et 117 en mai.