Ransomware : un mois de février marqué par l’opération Cronos contre LockBit

En février, nous avons compté 394 cyberattaques et revendication à travers le monde, un chiffre bien plus élevé qu’en janvier, mais encore inférieur à ceux d’août, septembre, octobre et novembre derniers. Il est de l’ordre de celui de juin 2023.

Au passage, nous avons revu à la baisse le décompte de janvier, notamment du fait des corrections rendues nécessaires par les pratiques de certains affidés de la franchise mafieuse LockBit 3.0, déjà observées en septembre et durant l’été 2023 : de nombreuses revendications publiées portaient en fait sur des événements parfois bien antérieurs.

Nous avons également tenu compte de quelques revendications croisées et ignoré les revendications du groupe mogilevich dont l’absence de sérieux a pu être établie.

L’Amérique du Nord s’inscrit toujours en tête des cas connus, à 195, soit un niveau comparable aux mois d’août, septembre et octobre derniers, mais bien en recul par rapport à novembre. La région Allemagne, Autriche, et Suisse (DACH) a été fortement représentée avec 36 cas recensés, devant l’Asie-Pacifique à 31. La France se contente de 14 cas connus, mais c’est trompeur.

Cybermalveillance.gouv.fr a ainsi reçu 143 demandes d’assistance pour ransomware en février, hors particuliers, contre 104 en janvier. C’est un niveau comparable à celui constaté en septembre, octobre et novembre derniers. Mais il est significativement inférieur à celui de février 2023 (218).

Sur le terrain, Antoine Coutant, du Cert de Synetis, indique que ses équipes sont notamment intervenues sur plusieurs attaques avec rançongiciel et des levées de doute liées aux récentes vulnérabilités Ivanti.

Il relève que « sur un dossier en particulier, le CERT Synetis a détecté l’utilisation de la souche Medusa Locker par, nous le pensons, plusieurs personnes non rompues à l’exercice. En effet, certaines actions inutiles ont été relevées comme si ces attaquants suivaient un “guide” ».

Le mois de février a notamment été marqué par l’opération Cronos, menée contre LockBit 3.0. Depuis, les opérateurs de la franchise essaient de donner l’impression de se relancer en multipliant les revendications de victimes attaquées avant cette opération. Mais les activités de la franchise pourraient toutefois avoir effectivement récemment repris : la revendication d’une même victime, à deux jours d’intervalle, entre LockBit et RansomHub le laisse à craindre.

Mais LockBit – le ransomware – n’a pas besoin de la franchise éponyme pour être menaçant : plusieurs cas d’attaque impliquant le rançongiciel, préparé sans lien avec la franchise, ont été observés. 

Après la fermeture du site vitrine de la franchise Knight, le code source de son rançongiciel a été mis en vente, comme celui d’Alphv/BlackCat l’avait été en janvier. De nouvelles analyses suggèrent désormais un lien entre ce dernier et feu NetWalker.