Ransomware : un été plus calme qu’anticipé en France

Souvenez-vous. Début juillet, les cyberattaques et leurs revendications contre des entités françaises s’enchaînaient : le groupe CCR, la ville du Croisic, La Poste Mobile, ou encore le département d’Indre-et-Loire. Un été explosif pouvait sembler être à craindre. Mais le pire ne s’est pas produit.

Selon les données du GIP Acyma, qui opère le portail Cybermalveillance.gouv.fr, le niveau de la menace s’est maintenu à un niveau historiquement bas.

Ainsi, le GIP fait état d’un nombre de demandes d’assistance – hors particuliers – particulièrement bas tant en juillet qu’en août, dans la continuité de juin : 78 pour le premier, 62 pour le second, pour 86 en juin. Des chiffres à comparer à 192 en mars, 160 en février, ou encore 167 en janvier. Pour mémoire, le portail Cybermalveillance.gouv.fr avait enregistré 117 demandes d’assistance en août 2021.

En août 2022, le nombre d’entreprises touchées s’est établi à 49, contre 13 administrations et collectivités. En juillet, il fallait compter avec 54 entreprises, pour 24 administrations et collectivités.

À ce stade, nous n’avons découvert aucune cyberattaque pour la première quinzaine du mois d’août, en France. Mais les choses se sont accélérées dès le 15 du mois écoulé avec, tout d’abord, la cyberattaque contre l’Union nationale d’aide du Calvados. Puis ont suivi Damart, Nexeya, le centre hospitalier Sud-Francilien, et encore l’EHPAD des Franches terres à Beuzeville. Le mois de septembre n’a guère mieux commencé, avec notamment les cyberattaques ayant touché Toulouse INP et l’hôpital de Cahors.

Une dizaine de revendications concernant des entités françaises viennent d’être publiées sur la vitrine de la franchise LockBit 3.0, mais leur datation reste incertaine. Nous avons toutefois pu confirmer que deux de ces revendications concernent des attaques survenues au mois de juin.

Au final, si globalement, l’été s’est avéré comparable à celui de 2021, la France semble avoir profité d’une accalmie régionalement limitée.

De son côté, l’équipe Renseignement et Investigation d’Intrinsec indique avoir observé une augmentation de 8,89 % des revendications d’attaques avec ransomware en juillet, par rapport à juin, avant une baisse séquentielle de 20 % en août.

Pour juillet, la hausse est attribuée au « maintien des activités de LockBit 3.0 à un niveau très élevé », une activité toujours forte « des opérateurs potentiellement liés à Conti comme BlackBasta, Hive, BlackCat et Karakurt », et surtout à la « fin d’une période de restructuration chez les opérateurs de ransomware ».

En août, des acteurs comme Lorenz et Industrial Spy se sont en revanche faits discrets. Le premier n’a revendiqué que deux victimes à la fin du mois, quand le second paraît avoir « quasi arrêté son activité ».

L’équipe Renseignement et Investigation d’Intrinsec souligne toutefois « le maintien des activités de LockBit 3.0 à un niveau très élevé », ce qui vaut également pour « des opérateurs potentiellement liés à Conti comme BlackBasta, Hive, BlackCat et Karakurt ».

Et de pointer enfin, outre l’apparition de Donut Leaks, celle du ransomware IceFire, avec une logique qui « semble similaire à celle d’Industrial Spy le mois dernier : publication massive de revendications dont les attaques ont eu lieu avant le lancement du rançongiciel, donc apport massif de victimes au moment de la création ».