Ransomware : un nombre d’attaquants en légère progression

Microsoft vient de publier l’édition 2023 de son Digital Defense Report. Selon celui-ci, le nombre de cyberattaques non automatisées – ou human-operated, en anglais – a progressé de plus de 200 % depuis septembre 2022. 

Ce type d’incident implique des interventions manuelles, humaines, réalisées par un ou plusieurs cybercriminels. Ces attaques diffèrent en cela de celles où le maliciel n’est que simplement caché dans un logiciel pirate ou une pièce jointe, notamment : à moins que le ransomware n’embarque des capacités de réplication autonome attribuées aux vers, le périmètre affecté peut être limité à une seule machine. 

Microsoft indique qu’environ « 40 % des cas de ransomware détectés en juin étaient pilotés par un être humain ». Mais le nombre de pirates effectivement impliqués dans ces attaques est-il particulièrement élevé ? Pas franchement. 

Un cybercriminel bien connu nous l’a récemment confié : « les attaques sérieuses ne peuvent être menées que par un très petit nombre de personnes ».

Selon Microsoft, la plupart des cyberattaques human-operated « peuvent être attribuées à 123 affidés » de franchises de type ransomware en mode service, ou RaaS, suivis. Mais ce chiffre n’est ni stable ni en baisse : « le nombre d’affidés a progressé de 12 % au cours de l’année écoulée ». Et l’éditeur anticipe une poursuite de cette tendance en 2024. 

Le groupe est connu pour avoir plus ou moins réussi à attirer et faire monter en compétences des nouvelles recrues afin de renforcer ses effectifs, mais cela ne transparaissait pas de manière véritablement significative jusqu’ici, dans les chiffres et les revendications des franchises RaaS. Et il y a peut-être une bonne raison à cela.

Qui dit revendication, dit menace de divulgation de données volées durant l’attaque, avant le chiffrement. C’est pour cela que l’on parle de double extorsion. Cela ne concerne que les attaques conduites manuellement, en profondeur, soit les 40 % de cas détectés en juin par Microsoft, évoqués un peu plus haut. Et parmi ceux-ci, « environ 16 % des récentes attaques avec ransomware human operated réussies impliquaient à la fois chiffrement et exfiltration », et 13 % l’exfiltration uniquement. C’est donc loin de concerner toutes les victimes de rançongiciel. 

Le recours au seul vol de données, sans chiffrement, est un phénomène désormais bien documenté et observé en croissance. Il souligne la difficulté à déterminer quelles données ont été volées, lorsque la cyberattaque vient d’être découverte, ainsi que l’importance de la détection de l’exfiltration le plus tôt possible. Ne serait-ce qu’en cela qu’elle donne une opportunité d’échapper à un éventuel chiffrement ultérieur.