Ransomware : un mois relativement calme pour la France

La reprise des activités offensives avait été franche en mars, dans le monde entier comme en France, sur le front des ransomwares. Mais le mois d’avril avait réservé une bonne surprise : un recul sensible du niveau de la menace pour l’Hexagone, en décrochage de la tendance mondiale. Cette accalmie s’est poursuivie au mois de mai.

Selon les données du GIP Acyma, qui opère le portail Cybermalveillance.gouv.fr, le niveau de la menace s’est à nouveau établi à un niveau comparable à celui d’août 2021, soit considérablement moins que pour la fin de l’année dernière ou le premier trimestre 2022.

Ainsi, le GIP fait état d’un nombre de demandes d’assistance – hors particuliers – particulièrement bas pour la seconde fois d’affilée : 123 en mai, après 127 en avril, à comparer à 192 en mars, 160 en février, ou encore 167 en janvier. Pour mémoire, le portail Cybermalveillance.gouv.fr avait enregistré 117 demandes d’assistance en août 2021. Un record, à 228 demandes d’assistance, avait été enregistré en novembre dernier.

En mai 2022, le nombre d’entreprises touchées a légèrement remonté, à 103, contre 99 en avril. Le nombre d’administrations et de collectivités affectées est quant à lui tombé à 20, contre 28 en avril, ou encore 44 le mois précédent.

Au total, en mai, 15 victimes ont été publiquement identifiées dans l’Hexagone dont, notamment, le fabricant de matériel agricole AGCO, Clestra-Hauserman, Akka Technologies, ou encore Hemeria et la SATT du Sud Est.

Pour Antoine Coutant, responsable de la practice Audits SSI et Cert de Synetis, ce calme observé en France pourrait être trompeur : l’intensité de l’activité cybercriminelle a bien été limitée en début de mois, mais elle a été plus forte après l’Ascension, au moins pour ses équipes.  

La situation du groupe Conti n’a pas manqué d’attirer l’attention. Chez Intrinsec, Frédérique Bajat lui attribue en partie la baisse des revendications d’attaques avec ransomware entre avril et mai 2022. Charlène Grel, chez XMCO, souligne aussi la réorganisation du groupe avec « l’abandon de la marque Conti ». Sa prise de position marquée en faveur de la Russie, dans le conflit qui l’oppose à Ukraine, a au moins un effet négatif pour le groupe de cybermalfaiteurs : « les victimes refuseraient dorénavant de payer des rançons de peur d’être sanctionnées par les États-Unis ».

Mais Charlène Grel relève l’augmentation de l’activité de Black Basta, renvoyant aux analyses d’AdvIntel selon lesquelles des affidés Conti auraient migré vers cette nouvelle franchise. Une telle migration a également été évoquée vers Hive – dont le niveau d’activité a par ailleurs retenu d’attention de Louis Château, chez Advens.

Au-delà, Antoine Coutant souligne une accélération des activités d’autres franchises : Vice Society, Alphv/BlackCat et Mindware. Louis Château relève de son côté que le groupe Industrial Spy est suspecté de vouloir passer au chiffrement des données de ses victimes, alors qu’il semble encore se contenter de les voler.

Mais le calme relatif observé en mai ne doit en rien inviter à se relâcher. Frédérique Bajat souligne ainsi que « la vente d’accès initiaux (RDP, VPN, Citrix, etc.) se maintient à un niveau élevé, avec un total non exhaustif de 169 ventes/partages de bases de données et/ou d’accès sur le mois de mai, contre 124 pour le mois précédent ».

De son côté, Charlène Grel revient sur les suspicions de complicités internes dans la vague d’attaques menées contre le Costa Rica : celles-ci « remettent sur le devant de la scène, dans un contexte bien particulier, la gravité de la menace interne, notamment pour les groupes de ransomware ayant les moyens de soudoyer des insiders ».