Ransomware : un écosystème cybercriminel fragmenté comme jamais

Début 2023, Trend Micro tirait le bilan du quatrième trimestre 2022, pointant une « scène du ransomware » dominée par LockBit, Alphv/BlackCat et Royal. A l’époque, il fallait compter avec une petite trentaine d’enseignes de rançongiciel. 

Pour Allan Liska, de Recorded Future, les temps ont bien changé. Il n’est pas seul à faire ce constat. 

Dans sa dernière analyse du risque cyber, Europol formule le même : « le paysage des ransomwares est devenu plus fragmenté, ce qui est probablement dû à la poursuite des efforts internationaux visant à étouffer les groupes criminels, ainsi que les fuites du code source de Conti (2022), LockBit (2023) et HelloKitty (2023) qui ont eu lieu ces dernières années ». 

En définitive, « ces facteurs incitent les groupes de ransomware à se scinder et à changer de nom, non seulement pour entraver les enquêtes et l'attribution des responsabilités, mais aussi pour profiter du chaos pour s'emparer d'une plus grande part du marché criminel ».

De fait, les opérations judiciaires ont régulièrement exacerbé la concurrence entre enseignes : « après l'interruption des services de Hive, BlackCat/ALPHV a fait la promotion de son OpSec pour attirer les affidés qui travaillaient auparavant avec Hive. L'un des arguments de vente de BlackCat était que son infrastructure était hébergée en dehors de l'Union européenne et de l'Amérique du Nord, et qu'elle appliquait une politique stricte d'absence de logs ». 

Dans la même veine, après une opération menée contre Alphv/BlackCat en décembre 2023, c’est LockBit qui a « tenté d'enrôler ses affidés et ses développeurs ». L’opérateur de BlackCat partira avec la caisse en mars 2024, un de ces affidés semblant passer chez RansomHub peu après.

RansomHub, Akira, Hunters International, Play et Medusa comptent aujourd’hui parmi les marques de ransomware les plus prolifiques. LockBit a récemment repris ses activités, après l’importante opération Cronosmenée contre lui, mais rien ne suggère que la franchise ait réussi à pleinement reconstruire la confiance perdue au passage. 

Le rançongiciel de LockBit est populaire, mais surtout auprès d’un nombre croissant d’indépendantsl’exploitant sans lien établi avec l’enseigne. 

Selon Europol, « les groupes de ransomware ciblent de plus en plus les petites et moyennes entreprises en raison de leurs faibles défenses informatiques ». En outre, « la sélection des cibles est également influencée par la spécialisation des courtiers en accès initiaux (Initial Access Brokers - IAB) impliqués dans leurs opérations ».