Ransomware : une menace à un niveau stable en décembre

En décembre, nous avons compté 245 cyberattaques avec ransomware à travers le monde, soit moins de 10 % de mieux qu’en novembre, et en tout cas moins qu’en décembre 2021 et 2020.

Comme attendu, le compte pour le mois de novembre a été revu à la hausse, mais comme anticipé, pas au point de rattraper les niveaux observés pour 2020 et 2021, loin de là. De quoi confirmer la tendance : depuis le mois de mai 2022, le niveau de la menace peine à atteindre – et encore plus à dépasser – celui constaté pour les deux années précédentes.

Antoine Coutant, responsable de la practice Audits SSI & CERT de Synetis, fait la même observation : « sur le dernier mois de l’année 2022, j’ai noté une activité rançongicielle globalement dans la même tendance que le reste de l’année ».

Lucien Lagarde, responsable renseignements et investigation d’Intrinsec, tempère toutefois, en relevant une « augmentation d’un peu plus de 15 % des revendications » entre novembre et décembre.

Deux groupes attirent son attention ainsi que celle d’Antoine Coutant : Play – qui s’est déjà illustré avec deux victimes connues en France – et Royal. Lucien Lagarde souligne que la première franchise « a doublé son nombre de revendications », tandis que la seconde « confirme son installation dans le paysage de la menace avec 30 revendications » en décembre. Deux franchises à suivre de près, à l’instar de LockBit 3.0, donc. Même s’il convient de ne pas négliger l’activité d’Alphv/BlackCat, de Black Basta – qui a bien repris le rythme des revendications –, et BianLian.

La tendance observée à l’échelle mondiale vaut aussi pour la France. Nous avons constaté un nombre particulièrement plus élevé de cas connus publiquement dans l’Hexagone qu’en novembre (15 contre 7), mais, parallèlement, cybermalveillance.gouv.fr a reçu un nombre de demandes d’assistance stable et toujours relativement faible (146, secteurs privé et public confondus, hors particuliers, contre 150 en novembre). En décembre 2021, ce nombre était 15 % plus élevé.

Le secteur de la santé a terminé l’année sur un répit au moins partiel. Le CERT Santé a relevé 2 incidents impliquant un rançongiciel en décembre, soit autant qu’en octobre, et moitié moins qu’en novembre.

Le monde de l’enseignement supérieur a passé la fin de l’année en état d’alerte, craignant l’exploitation d’accès initiaux obtenus via des vols de données avec des infostealers, mais sans que l’on ait eu connaissance de nouveaux incidents.

Historiquement, les mois de janvier et février comptent parmi les mois les plus calmes de l’année. Mais rien ne garantit que cela vaille pour 2023… ni que les cybercriminels ne se soient gardés de publier certaines revendications en fin d’année afin de gonfler leurs chiffres pour le début de la nouvelle.