Ransomware : la menace repart à la hausse en France

La reprise des activités offensives a été franche en mars, dans le monde entier, sur le front des ransomwares. Et la France n’échappe pas à la tendance. Selon les données du GIP Acyma, qui opère le portail Cybermalveillance.gouv.fr, le niveau de la menace s’établit à un niveau à mi-chemin entre ceux de septembre et octobre 2021, soit moins qu’en novembre dernier, mais sensiblement plus qu’au cours des trois mois précédents.

Ainsi, le GIP fait état d’un nombre de demandes d’assistance – hors particuliers – très modestement inférieur à celui d’octobre dernier : 192 en mars, contre 160 en février, 167 en janvier, ou encore 169 en décembre 2021. À titre de comparaison, le portail Cybermalveillance.gouv.fr avait enregistré 173 demandes d’assistance en septembre 2021, et 204 en octobre. Un record, à 228 demandes d’assistance, avait été enregistré en novembre.

En mars 2022, le nombre d’entreprises touchées est resté comparable à celui de janvier, à 148 demandes d’assistance, contre 151. Mais le nombre d’administrations et de collectivités touchées a explosé par rapport au premier mois de l’année – à 44 contre 16 – et a flirté avec celui de décembre dernier (45). Au total, en mars, seules 15 victimes ont été publiquement identifiées dans l’Hexagone.

Par rapport à février, le nombre de collectivités et administrations concernées a augmenté de près d’un tiers. Parmi celles-ci, on compte notamment la communauté de communes Rives de Moselle et celle de Montesquieu ainsi que Saumur et sa communauté d’agglomération. L’hôpital de Castellucio, à Ajaccio, a indiqué avoir été victime du groupe Vice Society. Ce dernier n’a toutefois pas encore revendiqué l’attaque.

Frédérique Bajat, responsable Cyber-Threat Intelligence d’Intrinsec, indique que les équipes de ce dernier sont intervenues, en mars, sur une réponse à incident impliquant RansomExx : une occasion potentielle d’étudier le mode opératoire d’un groupe relativement discret, plus, en tout cas, que d’autres.

Chez Synetis, Antoine Coutant, responsable de practice Audits SSI et du CERT, indique que ce dernier a été confronté, le mois dernier, à plusieurs déploiements de ransomwares, notamment via des « accès VPN compromis » et des « mises à jour non appliquées, et donc des vulnérabilités exploitées ». Mais des primo-intrusions par le biais de campagnes de phishing ont été également observées. Antoine Coutant souligne le niveau élevé d’activité des affidés des franchises Conti, LockBit 2.0, Hive et encore Alphv/BlackCat.

Charles Dagouat, responsable du CERT XMCO, relève aussi l’activité intense des franchises LockBit 2.0 et Conti. Mais il souligne également ce qui pourrait être une évolution de certaines pratiques : un retour à l’extorsion simple, mais sans chiffrement, avec uniquement du vol de données ; une pratique observée chez Lapsus$, mais qu’il relève également pour Karakurt. Toutefois, pour Charles Dagouat, ce dernier groupe s’avère plus organisé, discret que le premier, misant sur la multiplication des attaques tout en évitant les entreprises les plus en vue. Le responsable du CERT XMCO relève également l’apparition de Pandora, un groupe pratiquant la double extorsion. Mais aucune victime française ne lui est, à ce stade, publiquement connue.