Ransomware : un millésime 2023 sans véritable trêve estivale

En juillet, nous avons recensé 340 cyberattaques et revendications à travers le monde, le volume le plus faible depuis le début de l’année hormis janvier. Mais de beaucoup : nous avons compté 357 pour le mois de mars. Pour le mois d’août, notre décompte s’établit à 423, soit presque autant que pour le record du mois d’avril (425). 

Précisons que, pour établir ces chiffres, nous nous sommes retenus de compter toutes les victimes connues et revendiquées de la campagne MOVEit conduite par Cl0p fin mai : le groupe a continué d’égrainer les noms durant tout l’été. 

Chez Intrinsec, William Bossy-Guerin, analyste de la menace cyber, indique pour sa part avoir compté « près de 520 revendications » en juillet, un « record absolu de compromission sur un mois » et « la première fois que les 500 compromissions sont dépassées depuis l’apparition du phénomène RaaS [Ransomware as a Service, N.D.L.R.] ». 

Ces chiffres tiennent compte de la campagne MOVEit, avec 171 revendications. William Bossy-Guerin souligne là la « sophistication croissante » de Cl0p « qui n’hésite plus à exploiter des 0-days ou des 1-days avec un succès certain ». 

Mais en août, « LockBit 3.0 récupère sa place de numéro 1 avec 122 compromissions, signant un retour remarqué après quelques “baisses” bien relatives ». Surtout, la franchise apparaît plus prompte à revendiquer ses victimes que parfois par le passé. La franchise Akira semble aussi revendiquer rapidement ses victimes, sans leur laisser beaucoup de temps avant de commencer à engager des négociations, selon quelques observations qu’il a été possible de réaliser.

William Bossy-Guerin relève en outre que « 4 nouveaux ransomwares ont fait leur apparition en août dans le paysage des menaces avec Cloak (qui fait directement son entrée dans le top 5 avec 23 revendications), MetaEncryptor (12), Ransomed (8) et Inc Ransom (3) à un niveau plus raisonnable ».

Dans la mesure du possible, nous avons également corrigé certaines dates en fonction de données additionnelles disponibles : historiquement, certains groupes n’ont pas hésité à brouiller les pistes en revendiquant des faits d’armes datés, notamment pour leur première apparition. 

L’opérateur de Ransomed assure ne pas procéder ainsi. Dans un échange sur Twitter, il affirme que toutes ses revendications correspondent à un des accès « frais ». 

Mais attention à ne pas prendre toutes ces nouvelles franchises et vitrines pour de véritables nouveaux venus : il est tout à fait possible qu’il s’agisse d’acteurs déçus de franchises avec lesquelles ils ont travaillé antérieurement. Ransomed se positionne d’ailleurs explicitement ainsi.

Et c’est sans compter avec les nouvelles marques qui n’ont rien de bien nouveau : Knight ransomware, repéré en juillet, ne serait ainsi qu’un rhabillage de Cyclops ; Rhysida semble être la nouvelle marque de Vice Society ; et NoEscape ne serait en fait que le retour d’Avaddon.

En outre, depuis le début de l’année, on observe périodiquement des revendications croisées : une même victime affichée sur différentes vitrines. Ces revendications multiples peuvent trouver plusieurs explications, expliquaient avant l’été Azim Khodjibaev, des équipes Talos de Cisco, et Jon DiMaggio, stratégiste sécurité en chef d’Analyst1. 

William Bossy-Guerin estime que « le chiffre des 4 000 compromissions sera potentiellement atteint à la fin de l’année ». Mais qu’est-ce que cela traduit ? Une augmentation de l’activité des cybercriminels, ou un effort accru de faire connaître leurs victimes ? Probablement un peu des deux. C’est du moins ce que suggèrent les chiffres de cybermalveillance.gouv.fr pour la France. 

Le portail du GIP Acyma a ainsi reçu 134 et 130 demandes d’assistance, en juillet et août, respectivement. C’est certes bien plus que pour la même période un an plus tôt (140 demandes pour les deux mois estivaux), mais… c’est le niveau le plus bas depuis septembre 2022. 

Ces chiffres suggèrent qu’il n’y a pas eu de trêve estivale cette année, sur le front des cyberattaques avec ransomware, mais qu’il n’y a pas explosion non plus : la menace semble se maintenir au même niveau depuis un an ; mais les cybercriminels apparaissent bien plus diserts qu’au préalable.