Ransomware : un mois de mai marqué par le recul de la menace outre-Atlantique

Pour le mois de mai 2022, nous avons compté plus de 230 attaques avec ransomwares à travers le monde, soit un niveau remarquablement bas, comparable à celui du mois de février, ou encore de juin 2021. Ce chiffre est en tout cas bien en deçà de celui des mois d’avril et mai, à près de 330 cyberattaques comptabilisées pour chacun.

Il y a un effet saisonnier. En 2021, le niveau de la menace observée avait reculé entre avril et mai, et était resté à un niveau relativement modéré jusqu’au mois d’août, inclus. Mais les proportions n’avaient rien de comparable : seulement 7,4 % en termes de décrue l’an dernier entre et mai, contre 29 % cette année. La saisonnalité ne suffit vraisemblablement pas à expliquer le phénomène. Et cela d’autant plus qu’il affecte tout particulièrement une région du monde.

L’Amérique du Nord est ainsi la première concernée par ce recul de la menace observée, avec seulement 77 victimes identifiées, contre 129 au mois d’avril ; un déclin de 40 % bien au-dessus de la tendance générale. L’Amérique latine ainsi que les régions Asie-Pacifique et Allemagne/Autriche/Suisse ont également profité d’une accalmie, mais beaucoup moins marquée. La France, le Royaume-Uni et l’Irlande ou encore le Moyen-Orient ne semblent pas avoir eu cette chance.

Nos confrères de SearchSecurity (groupe TechTarget) ont observé la même tendance aux États-Unis, en prenant un angle différent : ils n’ont compté que 11 cyberattaques rendues publiques outre-Atlantique en mai, contre 20 en avril, ou encore 31 en mars. Ils relèvent que Rob Joyce, directeur cybersécurité de la NSA, a déclaré fin mai que les États-Unis avaient constaté une baisse de la menace des rançongiciels depuis l’invasion de l’Ukraine par la Russie, fin février. Et d’attribuer en partie cette baisse aux sanctions prises à l’encontre de certaines franchises de ransomware spécifiques et de plateformes de cryptomonnaies qui facilitent le paiement des rançons.

Début mai, les États-Unis ont d’ailleurs offert jusqu’à 15 millions de dollars de récompense pour des informations sur l’identité et la localisation des membres de la franchise Conti. Et jusqu’à 5 millions de dollars de plus pour une aide à leur arrestation.

De fait, les sanctions locales visant précisant certains acteurs, ou internationales visant la Russie, semblent affecter le landerneau du ransomware. Non pas tant que les cyberdélinquants les craignent pour eux-mêmes ; ils craignent surtout qu’elles ne découragent un peu plus leurs victimes à céder à leur chantage. C’est dans cette perspective, selon AdvIntel, que Conti semble s’être engagé dans une vaste opération de « dilution » dans d’autres franchises. Et tant pis si le manque de discrétion de l’un des affidés apparemment très concentré sur le Costa Rica pénalise ces efforts. Le coup de communication de LockBit, début juin, contre Mandiant, semble suivre la même logique.

Toutefois, il ne semble pas véritablement falloir compter sur un effet dissuasif. La franchise LockBit est toujours aussi active, et exploite désormais la version 3.0 de son ransomware. Un retour au moins partiel de REvil s’est confirmé. Cl0p semble avoir également relancé ses activités après une certaine accalmie, de même que SunCrypt et Quantum. Tandis qu’Avos, Hive et Alphv/BlackCat maintiennent leur niveau d’agressivité.

Le nombre de cyberattaques avec ransomware observées à travers le monde à fin mai 2022 est légèrement supérieur à celui établi à fin mai 2021, à près de 1 350 contre un peu plus de 1 310. Sur l’ensemble de l’année 2020, nous en avions compté près de 1 660.