Ransomware : octobre confirme un niveau stable, mais élevé de la menace

Pour le mois d’octobre 2022, nous avons compté 260 attaques avec ransomwares à travers le monde, soit un niveau comparable à celui de septembre, mais aussi à celui d’octobre 2020. Si le niveau observé est sensiblement inférieur à celui d’octobre 2021, il n’en confirme pas moins la tendance à une certaine stabilité de la menace de cyberattaques avec rançongiciel à travers le monde, à un niveau qui reste élevé, comme le suggéraient déjà les mois précédents.

L’Amérique du Nord continue de payer le plus lourd tribut, avec plus d’une centaine d’attaques constatées ou revendiquées en octobre, soit un peu moins qu’en septembre. La région Asie-Pacifique arrive en seconde position avec plus de 45 cas, soit à peu près autant qu’au mois précédent. La région Allemagne-Autriche-Suisse continue de s’inscrire en troisième position avec près de 30 cyberattaques, comme en mars 2022, mais bien moins qu’en avril.

Avec 12 cas connus pour octobre 2022, la France pourrait donner l’impression de bien s’en sortir, mais les chiffres du GIP Acyma, qui opère le portail Cybermalveillance.gouv.fr, montrent qu’il ne s’agit que d’un trompe-l’œil lié à l’observabilité de la menace.

De fait, Cybermalveillance.gouv.fr a reçu plus de 200 signalements (secteurs public et privé, hors particuliers) au mois d’octobre 2022, contre 135 en septembre : dans l’Hexagone, la menace semble avoir clairement retrouvé le niveau d’octobre 2021, même si elle s’était alors avérée sensiblement plus visible, avec une trentaine de cas identifiés.

De leur côté, les équipes d’Intrinsec notent « une baisse d’un peu moins de 5 % des revendications d’attaques par ransomware entre septembre et octobre 2022 ». Lucien Lagarde, responsable renseignement et investigations d’Intrinsec, avance quelques explications possibles. Tout d’abord, si « LockBit 3.0 représente toujours le principal opérateur de ransomware en termes de volume de compromissions », le nombre revendiqué le mois dernier semble avoir « diminué d’environ 40 %, ce qui suggère que le volume des compromissions réalisées par les autres acteurs de l’écosystème a augmenté ».

Chez Synetis, Antoine Coutant, responsable de la practice Audit SSI et CERT, relève la même baisse, mais sans s’avancer sur ses explications. On rappellera toutefois que nombre de revendications de la franchise LockBit 3.0 en septembre portaient sur des attaques survenues antérieurement.  

En outre pour Intrinsec, « Karakurt semble opérer un retour en force, avec quasiment 30 compromissions revendiquées au cours du seul mois d’octobre ». Lucien Lagarde relève que « cet opérateur n’opère cependant pas de chiffrement, uniquement du vol de données ».

Lucien Lagarde souligne également que « certains acteurs présents de manière sporadique comptent un nombre inhabituel de compromissions au cours de ce mois, à l’image de Qilin et Mallox ». Ce dernier « semble exister depuis quasiment un an », mais sa présence ouverte sur les réseaux et sa vitrine de revendications remontent tout au plus au mois d’août. BianLian semble pour sa part revenir sous les feux de la rampe : il « retrouve et dépasse légèrement son nombre de revendications du mois d’août, s’inscrivant dans la durée comme un mode opératoire récurrent et actif ».

Cheerscrypt n’a pas beaucoup fait parler de lui récemment. Selon Sygnia, il s’agit du même groupe que Night Sky, surnommé « Emperor Dragonfly » et aussi connu sous la référence DEV-0401. Tout aussi discret sur les écrans, Ransom Cartel serait, selon la division 42 de Palo Alto Networks, lié à REvil, même s’il n’est pas clair encore s’il s’agit d’anciens membres du groupe ou d’un tiers se contentant d’en copier les méthodes. Et il faut aussi compter avec le ransomware Venus, actif depuis le mois d’août, qui semble être utilisé dans des attaques visant initialement des services RDP exposés directement sur Internet.  

Restent des nouveautés, à l’Est. Ainsi, observé depuis début octobre, le ransomware Prestige semble utilisé notamment, voire principalement, contre les entreprises de la logistique en Pologne et en Ukraine.

Toujours en Europe Centrale et de l’Est, Lucien Lagarde relève « une forte activité de Free Civilian, responsable d’au moins 7 compromissions revendiquées au cours du mois d’octobre. La victimologie de ce mode opératoire semble très liée aux objectifs du Kremlin – l’Ukraine est très majoritairement ciblée –, et son observation initiale dans la nature semble coïncider avec le conflit en Ukraine ».

Enfin, une bonne nouvelle mi-octobre : les autorités néerlandaises sont parvenues à berner les opérateurs du ransomware Deadbolt. De quoi mettre à disposition les clés de déchiffrement pour plus de 150 victimes de rançongiciel utilisé contre les systèmes de stockage en réseau (NAS) QNap et Asustor.  

Mais cette nouvelle n’est pas isolée. Chez Synetis, Antoine Coutant relève une baisse du nombre de ventes d’accès dans les forums spécialisés. De quoi espérer au moins une stabilité continue de l’activité offensive.