Ransomware : légère accalmie au mois de mai

En mai, nous avons recensé 344 cyberattaques avec ransomware à travers le monde, soit un recul de 15 % par rapport à avril, mais une progression de plus de 37 % sur un an. Cette inflation, entre 2023 et 2022, Lucien Lagarde, responsable du renseignement et de l’investigation chez Intrinsec, l’observe également : « le nombre de revendications apparaît sensiblement plus important sur les 5 premiers moins de l’année 2023 que les années précédentes ».

Pour autant, la saisonnalité de la menace apparaît préservée, avec un mois de mai régulièrement plus calme que ceux d’avril et mars.

Pour nos comptes, nous avons supprimé certaines revendications manifestement en double, à l’instar de la revendication d’une cyberattaque contre 100X chez LockBit, en janvier, puis chez RansomHouse, fin avril. C’est chez cette franchise qu’une cyberattaque a été revendiquée fin avril contre Albany ENT & Allergy Services… revendiquée également le 11 mai chez BianLian. Et début mai, AvidXchange était revendiqué chez RansomHouse ainsi que… Abyss. Delaware Life Insurance ? Revendiqué chez LockBit 3.0 ainsi que RansomHouse. Fiduagria (Colombie) ? Chez LockBit 3.0 et Medusa, à 24 h d’intervalle, fin mai. Guardian Analystics ? Chez Daixin le 20 janvier, puis chez LockBit 3.0 le 3 février. Meade Tractor ? Chez Play début février, puis chez Black Basta.

Qui plus est, depuis le mois de janvier, sept victimes ont été revendiquées chez Snatch ainsi que chez Nokoyawa. Ces doubles revendications peuvent avoir plusieurs explications, comme évoquées récemment avec Azim Khodjibaev, des équipes Talos de Cisco, et le chercheur et auteur Jon DiMaggio.

En outre, nous n’avons compté les revendications de Cl0p liées à l’exploitation de vulnérabilités, dans GoAnywhere MFT, PaperCut et MOVEit Transfer, que comme un seul événement pour chaque campagne – sur mai pour la dernière. 

Enfin, le groupe Trigona a publié, courant mai, de nombreuses revendications relatives à des attaques antérieures. Plusieurs revendications prêtes depuis la fin avril sont d’ailleurs toujours en attente de publication. 

Au cours du mois dernier, nous avons observé pas moins de 66 cyberattaques rapportées dans les médias à travers le monde. La région la plus représentée est l’Europe (avec 25 cas signalés), suivie de l’Asie (avec 18 cas), et de l’Amérique du Nord (avec 21 cas). Le pays le plus affecté est les États-Unis, avec 19 cas constatés. La cyberattaque survenue le 3 mai contre les systèmes de Dallas continue d’affecter le fonctionnement des services de la ville.

Lucien Lagarde relève que « Lockbit est encore une fois la franchise la plus active, talonnée par les nouveaux venus de 8base (dont le code source serait basé sur celui de Babuk), qui se placent en deuxième position des attaques les plus revendiquées. Blackcat, BianLian, Royal, Play, Nokoyawa, Akira, Medusa et Trigona complètent le top 10 ». 

Au total, « 27 rançongiciels étaient actifs en mai ». Parmi les nouveaux groupes apparus, outre 8base, on relèvera DarkRace, Rhysida, RA, Rancoz ou encore Shadow. 

En France, les chiffres de Cybermalveillance.gouv.fr suggèrent un léger reflux de la menace pour le mois de mai, avec 156 demandes d’assistance (hors particuliers), contre 169 en avril, mais 123 en mai 2022. Comme toujours, cette progression mérite d’être relativisée : la plateforme a gagné en renommée au cours des 12 derniers mois. 

De notre côté, nous avons constaté 10 cyberattaques ayant affecté des organisations en France au mois de mai, contre 21 en avril 2023, 27 en mars et 13 en février.