Ransomware : un début d’année relativement calme en France

En janvier, nous avons recensé 332 cyberattaques et revendications à travers le monde. C’est le chiffre le plus élevé pour un mois de janvier depuis 4 ans. Il renvoie à des mois records tels que septembre 2020 (295), octobre 2021 (352), avril 2022 (334), ou encore février 2023 (348).

Ces ajustements sont encore une fois largement dus aux corrections rendues nécessaires par les pratiques de certains affidés de la franchise mafieuse LockBit 3.0, déjà observées en septembre et durant l’été 2023 : de nombreuses revendications publiées portaient en fait sur des événements parfois bien antérieurs.

À cela s’ajoutent les quelques revendications croisées d’une même victime sur les vitrines de plusieurs franchises, notamment entre Hunters International, Trigona, et Play, ou encore entre Alphv et Black Basta, avec LeClair Group, fin janvier.

L’Amérique du Nord s’inscrit toujours en tête avec 183 cas en janvier (autant qu’en décembre), contre 18 pour la région Allemagne/Autriche/Suisse, tout comme la région Irlande/Royaume-Uni. Le Benelux fait jeu égal avec l’Amérique latine, avec 15 cas.

En France, nous avons constaté 16 incidents rapportés dans la presse et revendications. C’est un niveau comparable à celui de septembre dernier, et un peu au-dessus de celui de janvier 2023. Mais c’est vraisemblablement trompeur.

Car, dans l’Hexagone, cybermalveillance.gouv.fr a reçu, en janvier, 104 demandes d’assistance de la part d’entreprises et de collectivités. Ce chiffre s’inscrit en baisse par rapport à celui de décembre (124) qui constituait déjà un plus bas record.

Sur le terrain, Antoine Coutant, du Cert de Synetis, relève en particulier « l’exploitation massive des failles Ivanti qui ont occupé […] sur de nombreuses levées de doute. L’exploitation de ces failles permet un espionnage énorme qui pourrait conduire à une intrusion ». L’attention attirée par ces vulnérabilités lui fait craindre l’éventuelle découverte prochaine de nouvelles attaques.

Le mois de janvier a par ailleurs été notamment marqué par une mise en vente, non confirmée, du code source du ransomware d’Alphv/BlackCat, pour 30 000 $. 

Les contributeurs du collectif Curated Intelligence ont quant à eux observé une sévère progression du nombre d’incidents impliquant Akira, relevant notamment l’exploitation de serveurs VPN Cisco ASA comme vecteur d’intrusion.

L’entreprise d’intérêt général spécialiste du prolongement de la vie des équipements électriques et électroniques Ecosystem a elle-même expliqué avoir été victime d’une cyberattaque impliquant le rançongiciel Akira, mi-janvier, après exploitation d’une vulnérabilité connue. Les enregistrements DNS d’Ecosystem faisaient ressortir un serveur VPN SSL Cisco ASA, vu pour la dernière fois par Shodan le 16 janvier. 

Mais l’opérateur de la franchise mafieuse LockBit 3.0 s’est offert un nouveau moment de célébrité avec un épisode houleux : il s’est fait bannir de deux forums fréquentés notamment par des cybercriminels, et classer « éventreur » sur l’un d’eux. Un classement qui survient notamment lorsqu’un cybercriminel s’attaque à des établissements de santé. Il aurait toutefois réussi à éviter le bannissement d’un troisième.

Dans un billet de blog, Anastasia Sentsova et Jon DiMaggio, d’Analyst1, retracent les événements. Tout est parti du refus de verser sa part d’une rançon à l’un des affidés de la franchise.