Chainalysis : 2023, une année « charnière » pour les ransomwares
Chainalysis indique que les paiements liés aux ransomwares ont explosé pour atteindre 1,1 milliard de dollars en 2023, marquant un renversement complet par rapport à la baisse des paiements observée l’année précédente.
Les paiements liés aux ransomwares ont dépassé le milliard de dollars l’année dernière, selon une nouvelle étude de Chainalysis, ce qui a conduit le fournisseur d’analyses Blockchain à qualifier 2023 d’année « charnière » pour ce type d’attaque.
L’année 2022 a été généralement considérée comme une année de baisse pour les ransomwares. CrowdStrike a constaté que le montant moyen des rançons payées est passé de 5,7 millions de dollars en 2021 à 4,1 millions de dollars en 2022 ; Mandiant a déclaré avoir répondu à 15 % d’incidents de ransomware en moins en 2022 par rapport à l’année précédente. Bien que l’année 2022 ait été marquée par plusieurs baisses sur le front des ransomwares, les experts soulignent que la réalité est plus complexe que ne le suggèrent les chiffres.
En 2022, un nombre important d’acteurs de la menace ont abandonné les attaques par ransomware au profit d’attaques en extorsion sur vol de données uniquement, dans lesquelles les cybercriminels volent des données dans l’espoir d’être payés sans chiffrer les réseaux des victimes. Un autre facteur a été l’invasion de l’Ukraine par la Russie, qui a détourné l’attention de la cybercriminalité à motivation financière au profit d’attaques à motivation politique.
Chainalysis a publié mercredi un article de blog détaillant de nouvelles recherches et observations concernant les tendances des ransomwares l’année dernière. Selon l’éditeur, l’année 2023 marque un « retour en force » des ransomwares, ce qu’il avait déjà annoncé l’année dernière. Selon l’entreprise, les paiements liés aux ransomwares ont atteint 1,1 milliard de dollars en 2023 – le montant le plus élevé jamais enregistré – contre 567 millions de dollars en 2022 et 983 millions de dollars en 2021.
« Il est important de reconnaître que nos chiffres sont des estimations prudentes, susceptibles d’augmenter à mesure que de nouvelles adresses de ransomware sont découvertes au fil du temps », peut-on lire sur le blog. « Par exemple, notre rapport initial pour 2022 dans le rapport criminel de l’année dernière indiquait 457 millions de dollars en rançons, mais ce chiffre a depuis été revu à la hausse de 24,1 % ».
L’éditeur a également qualifié l’année 2022 d’« anomalie ». Outre les facteurs susmentionnés, Chainalysis a indiqué que 2022 a été une année de baisse en raison de l’élimination par le FBI du gang de ransomwares Hive. En janvier 2023, le ministère américain de la Justice a annoncé que le FBI avait achevé une infiltration de plusieurs mois de ce groupe de cybercriminels, au cours de laquelle l’agence a réussi à empêcher les victimes de payer 130 millions de dollars en paiement de rançons. Sur la base de ses recherches et de facteurs tels que les effets d’entraînement pour les affiliés de Hive, Chainalysis estime que le démantèlement du FBI aurait pu « éviter au moins 210,4 millions de dollars ».
L'activité de Cl0p a représenté 44,8 % des paiements liés aux ransomwares reçus en juin et 39 % en juillet.
L’année 2023, quant à elle, a été marquée par une expansion des ransomwares en tant que service (RaaS), ainsi que par plusieurs attaques de grande envergure.
« Le paysage du ransomware a connu des changements importants en 2023, marqués par des changements de tactiques et d’affiliations parmi les acteurs malveillants, ainsi que par la propagation continue des souches RaaS et une exécution plus rapide des attaques, démontrant une approche plus efficace et plus agressive », a déclaré Chainalysis. « Le mouvement des affidés a mis en évidence la fluidité au sein du monde souterrain du ransomware et la recherche constante de schémas d’extorsion plus lucratifs ».
L’exemple le plus tristement célèbre d’extorsion à grande échelle est sans doute la campagne massive menée par Cl0p contre les clients de MoveIt Transfer, le produit de transfert de fichiers managé par Progress Software, à partir du mois de mai de l’année dernière. Le groupe criminel Cl0p a utilisé une vulnérabilité 0day dans le produit et a lancé de nombreuses attaques d’extorsion de données contre les clients. Chainalysis indique que depuis le début de la campagne de Clop, le gang a reçu plus de 100 millions de dollars en paiements de rançons, ce qui représente 44,8 % de la valeur totale du montant des rançons perçues grâce aux ransomwares en juin et 39 % en juillet.
« L’exfiltration des données, qui consiste à voler des données sans en bloquer l’accès et à menacer de les rendre publiques, [...] permet d'éviter que d'éventuels décrypteurs ne déjouent l'attaque. ».
ChainalysisBlog
« Avec autant de cibles, le chiffrement des données et la distribution des clés de déchiffrement à ceux qui paient ne sont pas pratiques d’un point de vue logistique », a déclaré Chainalysis. « L’exfiltration des données, qui consiste à voler des données sans en bloquer l’accès et à menacer de les rendre publiques, s’avère être une tactique plus efficace et permet de se prémunir contre le fait que d’éventuels décrypteurs puissent déjouer l’attaque ».
Le rapport de mercredi a fourni une vue plus détaillée des recherches précédentes de Chainalysis. L’entreprise a publié l’introduction de son rapport « 2024 Crypto Crime Trends » le 18 janvier, qui a montré une baisse globale de l’activité illicite des cryptomonnaies en 2023, tombant à 24,2 milliards de dollars contre 39,6 milliards de dollars en 2022. Chainalysis a constaté une diminution de l’escroquerie et du piratage de cryptomonnaies, mais a averti que l’activité des ransomwares pour l’année avait augmenté et inversé la forte baisse observée en 2022.
Jacqueline Burns Koven, responsable de la veille sur les cybermenaces chez Chainalysis, a déclaré à l’éditorial de TechTarget (maison mère du MagIT) que la clé pour progresser à long terme est de perturber l’ensemble de la chaîne logistique des ransomwares, qui comprend les développeurs, les affidés, les fournisseurs de services d’infrastructure, les blanchisseurs et les points d’encaissement.
« De nombreuses agences et entités font du bon travail pour prévenir et perturber les ransomwares, et nous avons vu que les succès obtenus ici diminuent les revenus liés aux ransomwares et rendent plus difficile, pour ces acteurs, d’encaisser leurs gains mal acquis », a déclaré Jacqueline Burns Koven.
« Au-delà des souches de ransomware, nous devons nous concentrer sur les individus qui en sont à l’origine, les dénoncer et continuer à les sanctionner. Les sanctions et les dénonciations ont un effet perturbateur sur ces acteurs malveillants, car si les souches changent constamment et changent de nom, ce sont les individus qui se cachent derrière qui sont les véritables moteurs », a-t-elle ajouté.
