Ransomware : un mois de novembre hors-norme

En novembre, nous avons recensé 467 cyberattaques et revendications à travers le monde, un volume record. Au passage, nous avons relevé notre compte pour octobre de 376 à 405, ainsi que nos comptes pour septembre et août, principalement.

Ces ajustements sont notamment dus aux corrections rendues nécessaires par les pratiques de certains affidés de la franchise mafieuse LockBit 3.0, déjà observées en septembre et durant l’été : de nombreuses revendications publiées en novembre portaient en fait sur des événements parfois bien antérieurs. 

Ainsi, dans le détail, nous affectons, pour le moment, 74 revendications de LockBit 3.0 à novembre, 67 à octobre, 71 à septembre, et 126 au mois août. 

Après cette franchise, Alphv/BlackCat et Play se sont montrés les plus démonstratifs, suivis par BlackBasta et 8base. Hunters International a fait une entrée en scène remarquée, avec plus de revendications pour son premier mois que NoEscape ou Medusa. 

L’Amérique du Nord est, comme toujours, en tête des cyberattaques rapportées dans la presse et des revendications des cybercriminels, mais à un niveau jamais atteint : plus de 230 cas constatés (soit plus de deux fois plus qu’un an plus tôt), et plus encore que le précédent record, à 215 cas, en avril 2023. Les niveaux observés dans les autres régions du monde affichent en revanche une relative stabilité. 

Sur le terrain, Antoine Coutant, responsable de la practice CERT de Synetis, relève « la mise en lumière d’une campagne à large échelle (utilisation frauduleuse d’un logiciel métier puis exploitation de vulnérabilités sur les SI des victimes) depuis le mois d’octobre, dont l’objectif est le gain financier mais également l’espionnage ». 

En novembre, le CERT de Synetis est intervenu auprès d’une douzaine de victimes, dont « d’importantes structures » subissant un « fort impact métier et image ». Et de regretter que, lors de ses interventions, ce CERT « est certaines fois limité dans ses actions du fait, entre autres, de la faible rétention ou centralisation (voire absence) de journalisation ». 

Et de souligner que « globalement, il est fréquemment noté aussi que le périmètre d’exposition peut être peu maîtrisé (absence d’audit de sécurité préalable) et peu de victimes finalement sont préparées à la survenue d’une cyberattaque ».

Évoqué le mois dernier par Fabian Cosset, responsable des activités de renseignement sur les menaces d’Advens, DarkGate apparaît toujours plus utilisé dans le cadre de cyberattaques. Les équipes de Sekoia.io se sont penchées de manière approfondie sur son fonctionnement et les méthodes de furtivité utilisées. DarkGate implémente notamment un shell inversé permettant à l’attaquant d’exécuter ses commandes sur la machine compromise. 

De son côté, Microsoft a alerté sur les infections par Danabot, un maliciel distribué notamment par malvertising, et débouchant sur le déclenchement du ransomware Cactus. L’éditeur associe ces activités à l’acteur malveillant Storm-0216 (aussi suivi sous les désignations Twisted Spider et UNC2198), qui s’appuyait précédemment sur Qakbot pour l’accès initial. 

Dans l’Hexagone, cybermalveillance.gouv.fr a reçu, en novembre, un nombre de demandes d’assistance encore stable et toujours relativement faible (145), secteurs privé et public confondus, hors particuliers. C’est moins qu’en novembre 2022, et comparable à décembre 2022 ou encore septembre 2023. De notre côté, nous avons recensé 16 cas, soit autant qu’en décembre 2022 ou en août et septembre derniers.