Ransomware : un mois de septembre marqué par les revendications retardées

En septembre, nous avons recensé 396 cyberattaques et revendications à travers le monde, un volume comparable à celui du mois de juin. Mais il a fallu, pour cela, corriger un compte biaisé par la découverte des franchises LostTrust, ThreeAM et Ciphbit, notamment, mais surtout des revendications publiées par LockBit 3.0 portant en réalité sur des activités parfois sensiblement antérieures.

Les observations rapportées par William Bossy-Guérin, analyste menace cyber chez Intrinsec, le soulignent bien : il évoque 490 revendications publiées, un nombre bien supérieur à celui obtenu après correction. Parmi elles, 84 sont signées LockBit 3.0. De son côté, LostTrust a publié rien moins que 53 revendications en septembre. Mais voilà : ces revendications portent sur des faits anciens. 

Ainsi, pour LostTrust – le nouveau nom de MetaEncryptor –, certaines revendications renvoient au mois de janvier 2023. Les plus récentes concernent des faits survenus en juillet. Pour LockBit, ce n’est guère mieux : sur une vingtaine de revendications publiées entre le 1^er et le 17 septembre, une seule concerne une cyberattaque menée en septembre. Toutes les autres portent sur des faits remontant à juin, juillet, voire août. 

Plusieurs éléments ont pu mettre la puce à l’oreille. La revendication de la cyberattaque contre la maison Mercier n’est apparue sur le site vitrine de la franchise LockBit 3.0 que le 16 septembre. Elle avait déjà été évoquée dans la presse locale le 10 juillet, avec un article mentionnant la date du 7 juillet. 

En outre, les données volées à la maison Mercier ont été divulguées au moment de la revendication et le site vitrine de LockBit indiquait, pour elles, le 10 juillet comme date de création du dossier : la date à laquelle l’affidé a transmis les données exfiltrées à l’infrastructure de la franchise. 

C’est en nous appuyant sur les dates indiquées de transmission des données volées pour plusieurs victimes que nous avons redressé la chronologie de l’activité apparente de la franchise LockBit 3.0 pour ses plus récentes revendications. 

Découvert mi-septembre, le groupe ThreeAM, avec son site vitrine à l’interface qui rappelle celle de Conti, a quant à lui (pour l’heure) publié des revendications renvoyant au mois d’août, aux côtés d’autres bien plus récentes. Quant à Ciphbit, seules deux de ses revendications existantes renvoient à septembre ; les autres sont datées avril et mai. 

Selon Symantec, le ransomware ThreeAM, écrit en Rust, n’est pour l’heure pas très utilisé. Mais un affidé LockBit semble également l’avoir adopté : les équipes de l’éditeur ont observé l’emploi de ThreeAM après une première tentative avortée de déclenchement de LockBit.

De son côté, Trend Micro a observé l’extension des activités des opérateurs des infostealers RedLine et Vidar, allant au-delà du seul vol de données d’authentification pour passer également au déploiement de ransomware. 

Des affidés de la franchise Alphv/BlackCat ont également étendu leurs opérations aux ressources de stockage sur Azure, en exploitant leur récent outil de chiffrement Sphynx. 

Selon SecureWorks, certains attaquants ont, cette année, considérablement raccourci les délais pour lancer le déclencheur des ransomwares, le faisant chuter de 4,5 jours en moyenne, à moins de 24h. Dans 10 % des cas étudiés, le déclenchement est même survenu moins de 5h après l’accès initial. Pour SecureWorks, il s’agit de réduire les chances de détection et d’interruption de l’attaque avant sa phase finale.

Mais à ce jour, le niveau d’activité cybercriminelle, sur le front des ransomwares, progresse-t-il en 2023, par rapport à 2022 ? Les observations le suggèrent, de même les récentes indications de Microsoft selon lesquelles le nombre d’affidés de franchises de rançongiciel aurait augmenté de 12 % en un an. Mais il faut probablement compter également avec des revendications globalement plus rapides – sans trop laisser de temps à la victime de décider de payer ou pas – et plus systématiques. Car pour la France, les données de cybermalveillance.gouv.fr ne confortent pas l’idée d’une explosion de la menace.

Le portail du GIP Acyma a ainsi reçu 150 demandes d’assistance en septembre. C’est certes plus que pour la même période un an plus tôt (135 demandes), mais cela reste bas sur douze mois glissants, et encore plus si l’on met de côté juillet et août 2023.