Ransomware : en France, en juin, le calme avant la tempête

La reprise des activités offensives avait été franche en mars, dans le monde entier comme en France, sur le front des ransomwares. Mais les mois d’avril et de mai avaient réservé une bonne surprise : un recul sensible du niveau de la menace pour l’Hexagone, en décrochage de la tendance mondiale, pour le mois d’avril. Cette accalmie s’est poursuivie au mois de juin, et même renforcée.

Selon les données du GIP Acyma, qui opère le portail Cybermalveillance.gouv.fr, le niveau de la menace s’est établi à un niveau historiquement bas.

Ainsi, le GIP fait état d’un nombre de demandes d’assistance – hors particuliers – particulièrement bas pour la troisième fois d’affilée : 86 en juin, contre 123 en mai, et après 127 en avril, à comparer à 192 en mars, 160 en février, ou encore 167 en janvier. Pour mémoire, le portail Cybermalveillance.gouv.fr avait enregistré 117 demandes d’assistance en août 2021. Un record, à 228 demandes d’assistance, avait été enregistré en novembre dernier.

En juin 2022, le nombre d’entreprises touchées s’est établi à 66. Le nombre d’administrations et de collectivités affectées est quant à lui resté stable, par rapport à mai, à 20, contre 28 en avril, ou encore 44 au mois de mars.

Au total, en juin, 11 victimes ont été publiquement identifiées dans l’Hexagone dont, notamment, l’École des ingénieurs de la ville de Paris (EIVP), Worldwide Flight Services, Socotec, le groupe Novelty, ou encore la ville de Guingamp.

Frédérique Bajat, responsable Cyber-Threat Intelligence d’Intrinsec, relève une baisse de 6,44 % des revendications d’attaques par ransomware entre mai et juin 2022. Selon elle, « cette baisse s’explique toujours par l’arrêt des activités liées à la franchise Conti qui était la plus prolifique et par une baisse généralisée de l’activité des autres ransomware ». Mais ce n’est pas tout.

Frédérique Bajat avance une autre piste de réflexion : « cette baisse pourrait aussi s’expliquer par la baisse des ventes d’accès [initiaux, NDLR] que nous avons constatée lors de ce mois ». Ainsi, « la vente d’accès initiaux (RDP, VPN, Citrix, etc.) a connu une importante baisse avec un total (non exhaustif) de 111 ventes/partages de base de données et/ou d’accès sur le mois de juin contre 169 pour le mois précédent ».

Mais attention à ne pas relâcher sa vigilance : « il semble que nous assistions à un important mouvement de restructuration du côté de certaines franchises comme LockBit et Conti. Il est possible que le mois prochain marque la fin de la baisse généralisée constatée depuis 3 mois et le retour d’une hausse des compromissions. Cette hypothèse semble se confirmer sur la première semaine de juillet ».

De fait, en l’espace d’une semaine, début juillet, plus de 10 cyberattaques contre des organisations françaises ont été découvertes ou revendiquées, soit autant que sur l’ensemble du mois d’avril. L’attaque conduite contre La Poste Mobile est, par plusieurs aspects, particulièrement remarquable. Et celle lancée contre le groupe Caisse Centrale de Réassurance (CCR) a vu l’émergence d’un groupe inconnu jusqu’ici : Lilith.