Ransomware : un mois de février nourri de faux-semblants

En février, nous avons recensé plus de 305 cyberattaques avec ransomware à travers le monde. Ce chiffre est impressionnant : il représente une augmentation de 50 % par rapport à janvier, et de 22 % par rapport à février 2022. De quoi suggérer une véritable nouvelle explosion de menace. Mais il faudra attendre les mois prochains pour vérifier si la tendance se vérifie, car plusieurs acteurs pourraient avoir modifié leur approche de communication publique. 

Chez Intrinsec, Frédérique Bajat, responsable Cyber-Threat Intelligence fait également le constat d’une forte progression du nombre de revendications de cybercriminels, en février : environ 65 % par rapport à janvier. La franchise LockBit n’y est nullement étrangère : « LockBit 3.0 a revendiqué 150 % plus de compromissions en février qu’en janvier, alors même qu’il était déjà l’acteur le plus prolifique au cours du mois de janvier », observe Frédérique Bajat.

Et justement, depuis la mi-janvier, les opérateurs de la franchise LockBit 3.0 semblent bien décidés à s’afficher comme très actifs et attractifs, multipliant les revendications, quitte à prendre le risque d’afficher la résistance de leurs victimes.

L’un des affidés de LockBit 3.0 est même allé jusqu’à rejouer une vieille carte : revendiquer des cyberattaques contre les clients de l’une de ses victimes, en l’occurrence Hotdesk.me le mois dernier. La dernière qu’une telle approche avait retenue, c’était contre un infogéreur néo-zélandais. La pratique avait été débusquée à l’automne 2021, à l’occasion de la cyberattaque conduite contre le Danois Vestas.

Avos a également épinglé plusieurs victimes au mois de février, mais en passant directement à la divulgation sans emprunter la case de la menace de divulgation. L’irrégularité des revendications de la franchise laisse à suspecter des revendications relatives à des attaques antérieures. 

Parallèlement, BlackBasta a repris ses revendications, relève Frédérique Bajat, et Alphv a accéléré les siennes, tandis que Royal est resté tout aussi loquace que précédemment, ni plus, ni moins. 

Un second élément a pu altérer la perception du niveau de la menace en février : la vaste campagne ESXiArgs lancée au tout début du mois écoulé. 

En février, cybermalveillance.gouv.fr a reçu 218 demandes d’assistance, secteurs privé et public confondus, hors particuliers. À première vue, c’est près de 10 % de plus que le record d’octobre 2022. Mais la France, avec OVHcloud, a été fortement affectée par cette campagne massive ESXiArgs. 

De quoi gonfler les chiffres du mois, tant pour cybermalveillance.gouv.fr que pour LeMagIT. Et cela d’autant plus que pour un ESXi chiffré, il faut potentiellement compter avec plusieurs victimes – notamment avec les partenaires channels d’OVHcloud. Il y a fort à parier qu’un nombre significatif de clients finaux s’est tourné vers le portail d’assistance en première intention, tout du moins durant les premières heures de la campagne : les premières communications publiques des principaux hébergeurs français ne sont survenues qu’en milieu de journée. 

Le mois de février 2023 peut donc donner l’impression d’une nouvelle explosion, mais compte tenu des éléments susceptibles d’avoir affecté les observations, il apparaît trop tôt pour établir des conclusions.