Ransomware : la menace a poursuivi son recul en juin

Pour le mois de juin 2022, nous avons compté moins de 180 attaques avec ransomwares à travers le monde, soit le niveau le plus bas depuis le début de l’année. En fait, pour retrouver un tel niveau, il faut remonter à janvier 2021 !

Un effet saisonnier ? Peut-être, mais pas uniquement. De fait, en 2021, le niveau de la menace observée avait reculé entre mai et juin de 17,4 %. Mais cette année, le recul flirte avec les 30 %. Et toutes les régions du monde ne sont pas concernées de la même manière.

En Amérique du Nord, le recul, d’un mois à l’autre, est négligeable, de même que pour la région Allemagne/Autriche/Suisse. Nos confrères de SearchSecurity (groupe TechTarget) ont observé la même tendance aux États-Unis, avec un compte de cyberattaques comparable en juin à celui de mai. Le recul apparaît plus significatif outre-Manche. Mais ce sont surtout l’Amérique latine, la région Moyen-Orient et Afrique, et l’Asie-Pacifique qui ont le plus profité d’un répit.

Les sanctions prises par les États-Unis à l’encontre de certaines franchises de ransomware spécifiques et de plateformes de cryptomonnaies qui facilitent le paiement des rançons ne sont peut-être pas étrangères au déclin observé outre-Atlantique, en mai. Mais peut-être ont-elles atteint leurs limites.

D’autres facteurs méritent en tout cas d’être pris en compte pour expliquer le recul observé sur les trois derniers mois et s’interroger sur ce que peuvent réserver les prochains.

Et cela commence sans surprise par la dissolution du groupe Conti. La franchise a fermé, courant juin, sa vitrine et son interface de négociation. Mais le phrasé utilisé dans certaines discussions avec d’autres franchises tend à conforter les suspicions d’éparpillement du groupe. Une récente discussion pour Hive rappelle ainsi la manière d’engager la conversation de certains membres de Conti.

En outre, LockBit, malgré un niveau d’activité soutenu en juin, comme durant tout le trimestre, semble avoir été bien occupé à préparer le lancement officiel de sa version 3.0. Et cela même avant le mois de juin : l’une de ses victimes françaises récemment exposées sur la nouvelle vitrine de la franchise a en réalité été attaquée autour de Pâques.

Il convient également de compter avec les opérations d’extorsion simple, avec vol de données, mais sans chiffrement, comme les attaques pratiquées par Karakurt – qui a récemment refait surface avec une importante moisson de victimes jusqu’ici inconnues – mais aussi RansomHouse – qui a revendiqué, fin juin, une attaque contre AMD – et Industrial Spy – au sujet duquel la SATT du Sud Est réfute toute cyberattaque. Une telle approche aurait été adoptée pour au moins une victime de la franchise Hive.

L’exfiltration seule présente l’avantage d’être moins visible et bruyante que le chiffrement : ce dernier affecte ouvertement l’activité de la victime. L’absence de chiffrement permet, à l’inverse, de préserver une discrétion peut être plus propice à la négociation, et, côté victime, à la dénégation.

Accessoirement, il convient de ne pas exclure la possibilité que d’anciens affidés de Conti se tournent vers des ransomwares qui font moins parler d’eux, comme Chaos/Yashma. De quoi conduire leurs activités plus discrètement qu’avec les grandes franchises du domaine.

Mais sur l’ensemble du premier semestre, le niveau de la menace ne semble pas avoir reculé par rapport à 2021 : pour les six premiers mois de l’année, nous comptons déjà 1 528 cas connus, contre 1549 pour le premier semestre de l’an dernier. Et pour mémoire, c’est déjà très proche du total comptabilisé pour 2020, qui s’était établi à un peu de moins de 1660.