Ransomware : 2024, l’année Cronos

Le 19 février 2024, les forces de l’ordre de plusieurs pays, dont la France, lançaient le volet public d’une importante opération de déstabilisation à l’encontre de la franchise mafieuse LockBit 3.0. Le voile était levé sur l’opération Cronos.

Quelques semaines plus tard, un autre séisme venait secouer la planète ransomware : Alphv (aussi appelé BlackCat) partait avec la caisse, après avoir floué un affidé de sa part d’une rançon de 22 millions de dollars.

LockBitSupp, l’opérateur de la franchise mafieuse bien connue, s’est attaché très vite à donner l’impression de rebondir, fin février. Fin mars, sa reprise d’activité était confirmée. Mais ce n’était pas suffisant.

Début mai, LockBit se lançait dans une nouvelle opération de communication… juste avant que ne soit rendu public l’épisode 2 de la série Cronos. Ce dernier ne l’a d’ailleurs pas refroidi : dans les jours suivants, il a continué de multiplier les revendications, mais très rarement fraîches. 

Le mois de juin a ensuite été marqué par le silence quasi total de la franchise LockBit 3.0 : seules 11 revendications de victimes sont apparues sur son site vitrine, dont au moins 6 se sont avérées se rapporter à des événements antérieurs. Mais la franchise était encore active. Il faudra attendre août pour que son activité s’effondre véritablement, jusqu’à se stabiliser à un niveau ridiculement bas pour elle.

Ce n’est peut-être pas le fruit du hasard : trois acteurs impliqués dans les activités de LockBit 3.0 ont été interpelés au mois d’août, dont un en France.

Cela ne veut pas dire que le ransomware de la franchise n’est pas populaire, auprès des cybercriminels, bien au contraire. Mais c’est surtout son builder ayant échappé à la franchise en septembre 2022 qui attire.

Les acteurs malveillants utilisant ce builder présentent des niveaux d’avancement différents dans leurs méthodes d’extorsion. La majorité de ceux qui sont observables pourrait se contenter d’extorsion simple. À savoir du chiffrement de données sans vol préalable, quand d’autres ont déjà mis en place un environnement de gestion des négociations, voire de divulgation de données exfiltrées du système d’information de leur victime. Cela vaut notamment pour Brain Cipher et DragonForce.

RansomHub, Akira, Hunters International, Play et Medusa comptent aujourd’hui parmi les marques de ransomware les plus prolifiques. La première de ces enseignes a clairement réussi à attirer d’anciens affidés d’Alphv et LockBit 3.0. À date, elle compte parmi les prolifiques en 2024 avec un compte mensuel de victimes qui dépasse celui qu’avait atteint LockBit 3.0.

Alors que s’achève 2024, l’écosystème cybercriminel du ransomware apparaît surtout marqué par sa fragmentation, inédite, avec nombre d’anciens affidés ouvrant leur propre vitrine comme des portfolios. 

Et cela se traduit par une forte hétérogénéité dans les profils. Certaines enseignes se contentent du mail, de Telegram ou de Session pour négocier. D’autres ont mis en place des interfaces Web particulièrement rudimentaires, à l’instar de Fog et Trinity.

Cette hétérogénéité se retrouve dans les activités des pentesters opérant pourtant sous de « grandes » enseignes, comme RansomHub, Hunters International, voire même Akira : certains vont se contenter d’exfiltrer quelques giga-octets de données en espérant faire chanter une victime dont peut-être un seul poste de travail a été touché, quand d’autre vont se limiter à l’exploitation de défaut de configuration de serveurs Web…

En définitive, derrière des décomptes de revendications impressionnants et pouvant suggérer une nouvelle explosion de la menace se cache surtout la réalité complexe et nuancée d’un écosystème, dont les acteurs cherchent surtout à faire parler d’eux. Le niveau observable de la menace, en France, ne suggère en tout cas absolument pas la moindre explosion, bien au contraire.