Ransomware : recul inattendu de la menace au mois de novembre

C’est une surprise de taille : pour le mois de novembre 2022, nous avons compté à peine plus de 210 cyberattaques avec ransomware à travers le monde. Ce nombre est comparable à ceux de janvier, juin et août 2022, mais bien en deçà de ceux de septembre et novembre 2022. C’est aussi environ 30 % de moins qu’aux mois de novembre 2021 et 2020. De quoi laisser à envisager une anomalie, des erreurs ?

De nombreuses revendications survenues en novembre portent sur des cyberattaques conduites en octobre. Ce qui nous a conduits à revoir à la hausse le compte de ce mois-là, à plus de 290 contre environ 260 initialement. Si le compte pour le mois de novembre va devoir être revu à la hausse ultérieurement, il reste peu probable qu’il le soit au point de rattraper les niveaux observés pour 2020 et 2021 : depuis le mois de mai, le niveau de la menace peine à atteindre – et encore plus à dépasser – celui constaté pour les deux années précédentes.

Chez Intrinsec, Lucien Lagarde, responsable renseignements et investigations, relève une baisse « d’un peu plus de 10 % des revendications d’attaques par ransomware entre octobre et novembre 2022 ». Selon lui, « cette baisse peut s’expliquer, en partie, par le volume d’attaques moins élevé qu’à l’accoutumée chez plusieurs opérateurs historiques comme LockBit 3.0 (qui a revendiqué environ 2 fois moins de compromissions par rapport au mois précédent), Karakurt (même si Karakurt ne chiffre pas) ou Black Basta ».

Des nouveaux venus – Royal, BianLian, Play, Relic ou encore Abraham Ax voire Trigona – ne manquent toutefois pas de relever le gant. Antoine Coutant, responsable de la practice Audits SSI & CERT de Synetis, relève d’ailleurs que BianLian « a connu sa plus forte activité au mois de novembre, depuis le début de ses activités en juillet ».

Toutefois, de nombreuses revendications publiées par Royal concernaient initialement des cyberattaques bien antérieures à l’apparition de son site vitrine. La même chose vaut pour Play.

La tendance observée à l’échelle mondiale vaut aussi pour la France. Nous n’avons constaté qu’un nombre particulièrement bas de cas publiquement connus (7), tandis que, parallèlement, cybermalveillance.gouv.fr recevait un nombre de demandes d’assistance inhabituellement faible (150 : secteurs privé et public confondus, hors particuliers). En novembre 2021, ce nombre était 50 % plus élevé.

S’il paraît prudent de ne pas s’attendre à une baisse supplémentaire en décembre, un rebond paraît peu probable, malgré un début de mois déjà intense. Ainsi, pour le second mois consécutif, Antoine Coutant relève que la surveillance des forums fréquentés par les cyberdélinquants fait ressortir « une baisse des messages de recrutement des groupes rançongiciels ainsi qu’une baisse des ventes d’accès à des systèmes d’information compromis ».

En outre, le mois de décembre n’est pas, habituellement, le plus intense, tandis que janvier et février comptent parmi les plus calmes. À titre d’illustration, cybermalveillance.gouv.fr avait reçu 169 demandes d’assistance (hors particuliers) en décembre 2021, puis 167 en janvier 2022, et 160 en février. La saisonnalité, combinée aux observations des signes précurseurs d’activités offensives cyberdélinquantes, donne de quoi espérer une stabilité, voire un léger recul de la menace pour la fin de l’année et le début 2023.