Ransomware : un mois d’avril encore intense

En avril, nous avons recensé 365 cyberattaques avec ransomware à travers le monde, soit un modeste 2 % de progression sur un mois, mais 9 % sur un an. Avril 2023 détrône ainsi mars 2023 et prend la place du mois au compte de cyberattaques le plus élevé depuis début 2020.

Encore une fois, après avoir établi que plusieurs revendications de Stormous étaient mensongères, nous avons décidé de les exclure du décompte de mars. Quant à Snatch, le groupe semble clairement recycler plus ou moins tardivement des données volées à l’occasion de cyberattaques bien antérieures à ses revendications.

Certaines revendications survenues en avril ont en outre été comptabilisées sur mars – mois pour lequel nous avons également eu à redresser rétroactivement nos comptes. Les graphiques qui suivent en tiennent compte. 

Par exemple, LockBit a revendiqué mi-avril une cyberattaque contre le groupe BRL. La date de création de la déclaration officielle de la victime suggère que l’incident est survenu fin mars. 

De son côté, BianLian a publié plusieurs revendications en avril qui renvoient à des pré-revendications en mars : Southeastern University, Tennessee State University, General Plug & Manufacturing, ou encore Flensburger Schiffbau Gesellschaft mbH and Co. and Nobiskrug Yachts GmbH. Pour ce dernier, l’attaque remonte à début mars ! Mais tous les groupes ne procèdent pas de la sorte. Play apparaît actuellement revendiquer ses cyberattaques avec un délai d’une semaine environ.

Au total, près de 70 cyberattaques ont été évoquées dans la presse en avril à l’occasion de leur découverte. Certaines ont été ensuite revendiquées, mais toutes ne l’ont pas été. Dans l’hexagone, on relèvera celle qui a frappé les casinos du groupe Vikings ou encore Vocalcom. Outre-Rhin, l’attaque conduite contre Evotec lui a coûté sa place au MDAX à Francfort, tandis que celle subie par Bitmarck continue de pénaliser de nombreuses complémentaires santé et leurs clients. En Suède, c’est la cyberattaque ayant frappé l’éditeur Visma Talent Solutions qui affecte les clients de sa solution SaaS Recruit. Aux États-Unis, les services de la ville de Dallas se démènent pour ramener leurs activités à des conditions opérationnelles nominales après la dévastatrice attaque ayant impliqué Royal.

Chez Synetis, Antoine Coutant, responsable de la practice Audits SSI et Cert, fait état d’un « nombre d’attaques similaire à celui du mois de mars », avec toujours en première place, la franchise LockBit 3.0. Pour lui, « l’information majeure en avril 2023 est sans doute la compromission de la solution 3CX (supply chain attack) qui a fait beaucoup de bruit, mais sans “dégât” constaté au niveau national ».

Chez Intrinsec, William Bossy-Guérin, analyse de la menace cyber, relève plus de 350 revendications, contre 402 en mars – ici, toutes les revendications de Cl0p liées à la campagne GoAnywhere sont comptabilisées. Mais en avril, Cl0p « semble revenir à un niveau davantage en adéquation avec son activité passée ». En attendant, peut-être, une nouvelle série sur la base de l’exploitation des vulnérabilités de PaperCut.

Pour l’analyste, « LockBit 3.0 récupère sa place de ransomware le plus actif avec plus de 100 compromissions ». Mais il souligne qu’un « nouveau ransomware fait son apparition ce mois-ci avec une entrée remarquée dans le Top 5. Il s’agit du rançongiciel RansomwareBlog qui a annoncé avoir compromis 24 sociétés ». Pour autant, les groupes « Royal, Play, BlackBasta, BlackCat, BianLian et Medusa continuent de confirmer leur haut niveau d’activités ». 

Une réserve toutefois : une seul des revendications de RansomwareBlog en avril porte effectivement sur une publication datée d’avril 2023 ; les autres sont antérieures.

William Bossy-Guérin estime que le volume de revendications constaté « demeure extrêmement élevé et témoigne d’une activité extrêmement intense et soutenue », à un niveau supérieur à ceux de 2022 et 2021. 

En France, les chiffres de Cybermalveillance.gouv.fr le suggèrent effectivement pour le mois d’avril, avec 169 demandes d’assistance (hors particuliers), contre 127 en avril 2022. Mais cette progression mérite d’être relativisée : la plateforme a gagné en renommée au cours des 12 derniers mois. 

De notre côté, nous avons constaté 18 cyberattaques ayant affecté des organisations en France au mois d’avril 2023, contre 23 en mars et 17 en février, mais 11 en avril 2022. 

Le mois écoulé a vu l’apparition du site vitrine de la franchise Akira – qui utiliserait le code source de Conti – et la publication de ses premières revendications. La franchise Black Suit a également été découverte, mais son site vitrine est encore vide, au contraire de celui de CrossLock, agrémenté de sa première revendication mi-avril. 

Le groupe Alphv commence en outre à proposer à ses affidés un nouveau ransomware, baptisé Sphynx. BlackByte avait lancé la version « NT » de son ransomware en février. Enfin, les développeurs du maliciel dérobeur de données Rhadamanthys ont lancé une nouvelle mouture de leur infostealer.