Ransomware : un mois de mars tout en surprises

En mars, nous avons compté 343 cyberattaques et revendications à travers le monde, un chiffre bien plus élevé qu’en janvier, mais en fort retrait par rapport à mars 2023 et février 2024. C’est une surprise : tout au long de l’année écoulée et au cours des deux premiers mois de 2024, le niveau observé de la menace s’était inscrit à la hausse, sensiblement, en variation sur un an.

Mais c’est également le fruit de quelques redressements de décomptes. Ainsi, si le groupe Black Basta a multiplié les revendications en mars, les dates de création des fichiers et dossiers de données volées puis divulguées suggèrent que la plupart de ces revendications portaient en fait sur des faits survenus bien antérieurement. Ce n’est qu’à partir du 12 mars que quelques revendications ont commencé à se rapporter à des cyberattaques conduites ce mois-là, mais 8 des 19 victimes revendiquées ont toutefois pu être renvoyées à février. 

Un phénomène comparable a pu être constaté avec LockBit 3.0. Dans la foulée de l’opération de police Cronos, en février, la franchise mafieuse avait multiplié les revendications de cyberattaques antérieures pour donner l’impression d’une reprise d’activité. Celle-ci a toutefois pu être confirmée dans le courant du mois de mars avec deux victimes revendiquées pour lesquelles des cyberattaques avaient été rapportées dans la presse. Cependant, au moins 12 revendications survenues en mars 2024 sur la vitrine de LockBit 3.0 concernaient des faits parfois bien antérieurs. 

Mais parmi ces revendications, certaines semblent se rapporter à des cyberattaques conduites précédemment sous pavillon Alphv/BlackCat. De quoi suggérer la migration d’un affidé de cette dernière franchise vers LockBit 3.0, dans la foulée de l’exit-scam survenu début mars.

L’Amérique du Nord s’inscrit toujours en tête des cas connus, listés à 194, soit un niveau comparable aux mois d’août, septembre et octobre derniers, mais toujours bien en recul par rapport à novembre. La région Asie-Pacifique a été fortement représentée avec 34 cas recensés, tandis que la région Allemagne-Autriche-Suisse (DACH) semble avoir connu une accalmie relative avec 17 cas connus, soit autant qu’en janvier. La France se contente de 3 cas connus, mais c’est très trompeur.

Cybermalveillance.gouv.fr a ainsi reçu 164 demandes d’assistance pour ransomware en mars, hors particuliers, contre 104 en janvier puis 143 en février. C’est un niveau comparable et légèrement supérieur à celui de mars 2023 (152). Mais le mois écoulé a été particulièrement irrégulier, démarrant assez calmement malgré un pic modeste autour du 10 mars, avant une reprise autour du 20 mars et, surtout, un fort pic autour du 27 mars.

Et rien ne laisse entrevoir d’accalmie, notamment avec l’arrivée de nouveaux venus. Le groupe GhostSec a ainsi évolué avec un nouveau rançongiciel, GhostLocker 2.0, écrit en Go. Le groupe Red CryptoApp a fait son apparition en mars, avec une originalité notable : l’utilisation de la GenAi pour au moins certains éléments de négociation. Une portion de la note de rançon renvoie, avec un petit parfum de naphtaline, à celle de feu Maze. Et c’est sans compter avec Kill Security. Mais prudence avec le nouveau Donex, qui renvoie à DarkRace et s’appuie sur le builder de LockBit 3.0 ayant fuité en septembre 2022.