Ransomware : un mois de juillet dans la continuité

Pour le mois de juillet 2022, nous avons compté plus de 200 attaques avec ransomwares à travers le monde, soit un niveau légèrement supérieur à celui de juin et comparable à celui de janvier. C’est également moins qu’en juillet 2021, mais plus qu’au mois d’août de l’an dernier.

Surtout, c’est la première fois qu’une telle reprise, même légère, est observée entre juin et juillet, de quoi laisser craindre l’absence de véritable trêve estivale cette année. La guerre en Ukraine affecte peut-être les opportunités touristiques de certains cybercriminels.

Mais encore une fois, toutes les régions du monde ne sont pas concernées de la même manière. En Amérique du Nord, le recul, d’un mois à l’autre, est ainsi assez conséquent, à moins de 70 cas en juillet, contre près de 80 en juin, ainsi qu’avant en mai. Nos confrères de SearchSecurity (groupe TechTarget) ont observé la même tendance aux États-Unis, avec 3 cyberattaques déclarées par des victimes en juillet, contre 13 en juin.

La région Allemagne-Autriche-Suisse (DACH) semble également profiter d’une relative accalmie. Mais cela ne vaut pas pour le Royaume-Uni et l’Irlande, et encore moins pour l’Amérique latine et la région Moyen-Orient et Afrique ou encore Asie-Pacifique. Cette dernière a été marquée par un nombre record d’attaques avec rançongiciel au juillet, à un niveau comparable à celui observé en mars.

La franchise LockBit, avec sa version 3.0, a dominé le paysage de la menace en juillet, mais parfois en revendiquant des attaques remontant en réalité à plusieurs mois, à l’instar de celle menée contre Clestra Hauserman. Mais cela ne vaut pas pour toutes, à commencer par celle ayant frappé La Poste Mobile. La franchise LockBit s’est aussi fait remarquer par une multiplication des capacités de monétisation des attaques.

La franchise Alphv – ou BlackCat – s’est également montrée très active en juillet, avec un niveau d’activité apparent proche du niveau le plus élevé observé jusqu’ici, en mars. Elle est à l’origine de la revendication temporaire d’une cyberattaque contre Unisys, lequel reste depuis silencieux sur le sujet, malgré plusieurs sollicitations de notre part.

La franchise Black Basta a également formulé de nombreuses revendications courant juillet. Mais leur examen attentif a permis de montrer qu’elles portaient sur des attaques antérieures, significativement pour certaines. Le groupe Quantum a fait de même, revendiquant en juillet une attaque survenue, selon toute vraisemblance, fin janvier.

Le mois de juillet a enfin été marqué par l’apparition de nouvelles franchises, à commencer par Lilith, qui a frappé le groupe Caisse Centrale de Réassurance (CCR), en France. Le site vitrine de la franchise n’est plus accessible, à l’heure où sont publiées ces lignes. À cela s’ajoute 0mega, qui n’a revendiqué, à ce stade, que deux victimes et semble avoir commencé ses activités en mai.

Mais il faut également compter avec trois nouvelles franchises armées de ransomware capable de frapper les systèmes Windows et ESXi : Gwisinlocker, Luna, ou encore RedAlert (NV13).

Enfin, Microsoft a attribué la franchise H0lyGh0st à la Corée du Nord. Mais il s’agirait d’une opération indépendante du gouvernement local, au contraire d’une autre, dite Maui, qui semble être portée par le groupe Andariel, sous-groupe de Lazarus. Les autorités américaines ont alerté dessus début juillet et affirmé, quelques semaines plus tard, avoir réussi à récupérer environ 500 000 $ de rançons payées en bitcoin.