Ransomware : un été comparable à celui de l’an dernier

Pour le mois d’août 2022, nous avons compté plus de 190 attaques avec ransomwares à travers le monde, soit un niveau comparable à celui d’août 2021. Après redressement, le compte, pour juillet 2022, s’établit quant à lui à plus de 220, là encore un niveau comparable à celui du même mois pour l’an passé. En somme, s’il y a eu trêve estivale, elle n’a été que comparable à celle de 2021, ni plus, ni moins.

Mais encore une fois, toutes les régions du monde ne sont pas concernées de la même manière. En Amérique du Nord, le recul, d’un mois à l’autre, est ainsi assez conséquent, à moins de 80 cas en août, contre 86 en juillet et 90 en juin.  

La région Allemagne-Autriche-Suisse (DACH) a également profité d’une relative accalmie, avec 35 cas connus sur juillet et août. Pour mémoire, il fallu compter avec 38 cyberattaques avec ransomware, dans la région, en avril 2022.

L’attention des cybercriminels semble également avoir été, au moins ponctuellement, détournée du Royaume-Uni et de l’Irlande, avec seulement 7 cas en août, contre 18 en juillet.

L’Amérique Latine et la région Moyen-Orient et Afrique ont été moins chanceuses. Là, le niveau de la menace est resté élevé durant l’été, au-dessus de celui de juin. En Amérique Latine, il n’a toutefois pas retrouvé celui d’avril.

La franchise LockBit, avec sa version 3.0, a encore dominé le paysage de la menace en août, avec notamment deux cyberattaques fortement médiatisées, celle contre le centre hospitalier Sud-Francilien (CHSF) et celle contre Entrust — une attaque revendiquée en août, mais qui serait en fait survenue fin juin.

La franchise Ragnar Locker s’est également faite plus loquace qu’à l’accoutumée, revendiquant notamment des attaques contre la compagnie aérienne portugaise, TAP, et l’opérateur gazier grec Desfa. Le secteur des infrastructures critiques n’a d’ailleurs pas été épargné ces dernières semaines, avec Eni et le régulateur italien de l’énergie eux aussi victimes de cyberattaques.

Fin août, les équipes de Trend Micro ont documenté un ransomware écrit en Go, dit Agenda ou Qilin, qui a commencé à être utilisé dans des cyberattaques en juin. Un nouveau site vitrine est également apparu, celui du groupe Donut Leaks, dont il est difficile de dire, à ce stade, s’il ne s’agit pas du site personnel d’un affidé travaillant avec plusieurs franchises.