Ransomware : un mois de juin préoccupant pour l’été qui vient

En juin, nous avons recensé 340 cyberattaques avec ransomware à travers le monde, soit un recul de seulement 4 % par rapport à mai, et surtout une progression de plus de 65 % sur un an. Et encore, pour établir ces chiffres, nous nous sommes retenus de compter toutes les victimes connues et revendiquées de la campagne MOVEit conduite par Cl0p fin mai : selon Brett Callow, d’Emsisoft, on compte près de 200 victimes connues de cette campagne, au 5 juillet. 

N’excluant pas les revendications de Cl0p, Lucien Lagarde, responsable renseignements et investigation d’Intrinsec, compte 423 revendications en juin : « il s’agit du plus grand nombre de revendications sur un mois que nous avons identifié ces dernières années. Le nombre de revendications apparaît sensiblement plus important sur les 6 premiers mois de l’année 2023 que les années précédentes ». 

Derrière Cl0p, « LockBit confirme sa position d’acteur majeur de l’écosystème cybercriminel. BlackCat, suivi de près par 8base, se place en troisième position. Play, Akira, Bianlian, Snatch, Medusa et Rhysida complètent le top 10. 28 rançongiciels étaient actifs en juin ».

Surtout, Lucien Lagarde relève que « certains nouveaux venus des mois précédents s’installent et confirment leur position, notamment 8base ». Le tout sur fond de déclassement de Royal.

La franchise 8base s’est effectivement montrée particulièrement prolixe au mois de juin. Ses premières revendications suggèrent qu’elle est active depuis le printemps 2022, comme l’a relevé VMware dans un billet de blog. Quelques revendications datées de 2023 ont été publiées jusqu’au mois de mai. Mais le mois de juin semble avoir marqué une véritable explosion de l’activité de 8base avec rien moins que 39 revendications.

Selon l’analyste Rivitna, 8base utilise le rançongiciel Phobos, avec une clé publique présente dans des échantillons de ce ransomware depuis 2020.

Il reste toujours difficile de dire si l’évolution observée du nombre de revendications trahit véritablement un regain d’intensité de la menace par rapport à 2022 ou si elle constitue plutôt le reflet d’un changement dans les pratiques des cybercriminels. 

Certains groupes revendiquent très vite leurs méfaits, ne semblant plus même laisser le temps à leurs victimes d’engager un dialogue pour leur garantir une certaine discrétion. Ce qui ne présente pas que des inconvénients : historiquement, une absence de revendication ou sa suppression suggéraient le paiement de la rançon. Si la revendication est systématique et n’est en outre jamais supprimée, les indices visibles d’un éventuel versement de rançon sont considérablement réduits.

Au cours du mois dernier, pas moins de 73 cyberattaques ont été rapportées dans les médias à travers le monde. Ces attaques, qui ont touché divers secteurs d’activité, mettent en évidence la persistance des menaces qui pèsent sur la sécurité numérique. L’Europe a été la région la plus représentée dans les médias en termes de cyberattaques, avec un total de 32 cas rapportés.

En France, les chiffres de Cybermalveillance.gouv.fr suggèrent une stabilité globale du niveau menace sur les quatre derniers mois, avec 168 demandes d’assistance (hors particuliers) en juin, contre 156 en mai, 169 en avril, et 152 en mars.

De notre côté, nous avons constaté 15 cyberattaques ayant affecté des organisations en France au mois de juin, après 13 en mai, 22 en avril, et 27 en mars.

Les mois de juin, juillet et août sont traditionnellement parmi les plus calmes de l’année, avec janvier. Mais cette année, l’absence de reflux de la menace observée en juin peut laisser craindre une saison estivale plus intense qu’au cours des années passées.