Ransomware : en France, une accalmie sensible au mois d’avril

La reprise des activités offensives avait été franche en mars, dans le monde entier comme en France, sur le front des ransomwares. Pour avril, c’est moins vrai : le niveau de la menace observée s’est maintenu à l’échelle de la planète, mais il a sensiblement reculé dans l’Hexagone.

Selon les données du GIP Acyma, qui opère le portail Cybermalveillance.gouv.fr, le niveau de la menace s’est établi à un niveau comparable à celui d’août 2021, soit considérablement moins que pour la fin de l’année dernière ou le premier trimestre 2022.

Ainsi, le GIP fait état d’un nombre de demandes d’assistance – hors particuliers – inhabituellement bas : 127 en avril, contre 192 en mars, 160 en février, ou encore 167 en janvier. À titre de comparaison, le portail Cybermalveillance.gouv.fr avait enregistré 117 demandes d’assistance en août 2021. Un record, à 228 demandes d’assistance, avait été enregistré en novembre.

En avril 2022, le nombre d’entreprises touchées a considérablement reculé, à 99, contre 148 en mars. Le nombre d’administrations et de collectivités affectées est quant à lui tombé à 28, contre 44 le mois précédent.

Au total, en avril, seules 10 victimes ont été publiquement identifiées dans l’Hexagone. Parmi celles-ci, nous ne comptons pas l’établissement public territorial Est Ensemble, contre lequel Vice Society a revendiqué, en avril, une attaque survenue en fait fin décembre 2021.

Mais l’on relèvera l’apparition récente d’Industrial Spy qui affirme mettre en vente des données volées – à hauteur de près de 29 Go – au sein du système d’information du groupement hospitalier Cœur Grand Est. Une cyberattaque affecte ce dernier depuis le 19 avril. Industrial Spy indique avoir effectivement attaqué le groupement et téléchargé les données la veille.

Cheffe de produit Serenety chez XMCO, Charlène Grel souligne le niveau d’activité toujours très soutenu de la franchise LockBit, avec plus de 90 victimes revendiquées en avril, de même que celle de Vice Society, qui s’est montré particulièrement loquace en avril, dans la continuité du mois de mars, avec pour chacune une dizaine de victimes revendiquées. Et de souligner qu’Alphv/Black Cat continue d’être très actif.

Mais Charlène Grel relève également l’apparition de Black Basta, qui semble responsable de la cyberattaque conduite contre Oralia, ainsi que celle d’Onyx. Et pour celui-ci, une particularité : « les premières analyses d’Onyx indiquent qu’il s’agit d’un malware à mi-chemin entre le ransomware et le wiper. Onyx chiffre les fichiers d’une taille inférieure à 2 Mo, mais écraserait tous les fichiers de plus de 2 Mo avec des données inutiles ». En outre, « le groupe malveillant derrière Onyx suit le modèle de la double extorsion en exfiltrant les données de ses victimes avant de les chiffrer. Ces données sont ensuite publiées si la rançon n’est pas payée ».

Antoine Coutant, le responsable de la practice Audits SSI et CERT de Synetis, relève également les niveaux d’activité des franchises LockBit, Conti, et Black Basta. À noter que la version 3.0 de LockBit semble avoir récemment fait son apparition.

Charlène Grel évoque également le retour de REvil – ou du moins de l’un des anciens opérateurs de la franchise –, suspecté mi-avril et désormais apparemment confirmé par de premiers échantillons.

Antoine Coutant revient enfin de son côté sur la coupure, survenue dans la nuit du 26 au 27 avril, d’au moins trois liens optiques longue distance en France : « ceci démontre qu’en matière de sécurité des infrastructures, la protection physique joue un rôle tout aussi important que la cybersécurité ».