Ransomware : un mois de mars véritablement explosif

En mars, nous avons recensé près de 360 cyberattaques avec ransomware à travers le monde. C’est environ 20 % de progression sur un mois. Surtout, cela fait de mars 2023 le mois au compte de cyberattaques le plus élevé depuis début 2020. 

Et encore, nous avons exclu de ce compte les fruits de la campagne menée par Cl0p contre les instances GoAnywhere MFT de Fortra. Celle-ci a conduit à une centaine de revendications en mars, mais elle a été conduite autour de la fin janvier. Surtout, si elle a fait de nombreuses victimes, nous avons choisi de la comptabilisé comme un unique incident. 

Après avoir établi que plusieurs revendications de Stormous étaient mensongères, nous avons également décidé de les exclure du décompte de mars. 

Chez Intrinsec, William Bossy-Guérin, analyste menace cyber, faite une observation comparable : « effectivement, mars 2023 est un mois record. Nous avons observé plus de 400 revendications d’attaques par rançongiciels, soit une augmentation de plus de 50% par rapport au mois précédent (402 revendications contre 266 le mois précédent) ».

Intrinsec tient là compte des revendications de Cl0p et relève au passage que « c’est la première fois depuis juin 2021 que le ransomware LockBit n’est pas le plus actif ». Et cela après 22 mois de domination sans partage. 

Ce qui change, selon William Bossy-Guérin, c’est justement l’activité de Cl0p qui « réalise son plus haut total sur un seul mois et a également surpassé son total de l’année 2020, 2021 et 2022 (nom cumulé) ». 

Pour autant, au total, « près de 27 ransomware ont été actifs durant ce mois », et « il s’agit là encore d’un des plus hauts totaux relevés depuis 2019. Par comparaison, Il y en avait 20 en février 2023, 16 en janvier 2023, 22 en décembre 2022 par exemple ».

Dans le lot, les enseignes « LockBit 3.0, Royal, Play, BlackBasta, BlackCat, BianLian et Medusa confirment leur haut niveau d’activités ». Pendant ce temps, une nouvelle vitrine est apparue, « DarkPower qui fait directement son entrée dans le top 10 ».

Pour la France, c’est également un mois record avec 23 cas connus publiquement. Ce niveau n’avait pas encore été atteint. En outre, il n’avait jamais été aussi proche des volumes observés pour la région Allemagne, Autriche, Suisse, qui ne conserve qu’une avance très limitée, en mars, sur l’Hexagone. 

Ls chiffres de cybermalveillance.gouv.fr ne reflètent toutefois pas cette tendance, avec moins que 160 demandes d’assistance pour cyberattaque avec ransomware, secteurs public et privé confondus, hors particuliers. Ce niveau s'avère particulière bas, alors que la cyberattaque ayant touché le service OnCloud de Bouygues Telecom Entreprises aurait pu entraîner une hausse ponctuelle des demandes d’assistance. Un pic de demandes a toutefois été enregistré juste après le 19 mars.

Outre l’enseigne DarkPower, le mois de mars a vu la documentation du ransomware BabLock/Rorschach, qui n’est, pour l’heure associé à aucune vitrine. Mais qu’attendre du mois d’avril ?

L’activité des cybercriminels pourrait être affectée par l’opération conduite contre la place de marché Genesis. Mais ce n’est toutefois pas le seul canal de diffusion de données d’authentification utilisées pour établir des accès initiaux et conduire des cyberattaques. 

Lucien Lagarde, responsable renseignements et investigations chez Intrinsec, indique observer une activité réduite du côté de l’infostealer RaccoonV2, depuis le bannissement de son créateur de deux forums majeurs. Mais il craint que ce bannissement ne conduise « à une augmentation du volume d’activité de Vidar et Redline, que l'on observe d'ailleurs être distribués sur de gros botnets (smokeloader, privateloader, etc.) ». Et c’est sans compter avec les loaders dotés de leurs propres dérobeurs intégrés, à l’instar d’Amadey, souligne-t-il.

Nous avons corrigé notre article initial après que cybermalveillance.gouv.fr nous a indiqué nous avoir initialement communiqué involontairement des données erronées.