concept w - stock.adobe.com

Ransomware : la France miraculée de l’été 2024 ?

L’été s’est avéré particulièrement calme, en France, sur le front des rançongiciels, avec en particulier un mois d’août exceptionnel. En revanche, à plus grande échelle, l’activité observable des cybercriminels est repartie à la hausse après deux mois de recul.

En août 2024, ransomware.live a compté près de 490 publications sur des sites vitrine d’enseignes de ransomware. Au total, après l’intégration des cas constatés dans la presse internationale et les corrections des dates de survenue d’attaque, nous comptons 432 cyberattaques et revendications à travers le monde, un chiffre en hausse par rapport au mois d’août 2023. 

Ce niveau renvoie à celui de février 2024, à mi-chemin entre celui de mars et ceux d’avril et mai, et bien au-delà de ceux de juin et juillet. 

L’équipe de Black Basta semble avoir été en vacances pour l’été, à l’inverse, notamment, de BlackSuit, dont les revendications ont montré la diversité des sous-groupes, ou encore Qilin, qui se sert désormais dans les identifiants stockés dans Chrome chez ses victimes.

Si l’écosystème cybercriminel apparaît toujours fortement fragmenté, il commence à donner des signes de stabilisation. De fait, le nombre de re-revendication d’une même victime sur le site vitrine d’une autre enseigne de ransomware – on parle de revendication croisée, ou crossclaim en anglais – a sensiblement reculé en juin et juillet par rapport aux précédents mois de l’année. La recomposition du paysage provoquée par l’exit-scam d’Alphv et l’opération Cronos pourrait bien être finalisée. 

Et justement, pour l’heure, RansomHub semble bien profiter de la situation. Toutefois, si ses efforts marketing peuvent jeter un certain discrédit sur son image, la franchise LockBit 3.0 est loin d’avoir disparu. Elle vient d’ailleurs de servir à la revendication d’une cyberattaque effectivement récente et confirmée. 

L’Amérique du Nord s’inscrit toujours en tête des cas connus, listés à 208. En fait, toutes les régions du monde enregistrent une hausse de l’activité malveillante observée, sans aucune exception. Mais cela ne manque pas d’être parfois trompeur. 

Ainsi, en France, l’activité cybercriminelle observée s’est inscrite en hausse d’un mois sur l’autre, à l’inverse des demandes d’assistance pour ransomware adressées à cybermalveillance.gouv.fr : celles-ci n’ont été que 49 en août contre 108 en juillet ! Un recul impressionnant conduisant à un plus bas exceptionnel. 

L’essentiel de l’actualité

  • Un rapport de TRM Labs a révélé que les groupes russophones dominent les cybercrimes liés aux cryptomonnaies, en particulier les attaques par ransomware. En 2023, ces groupes étaient responsables de 69 % des revenus issus de ce type de cybercriminalité, générant plus de 500 millions de dollars. Ils contrôlent également 95 % des ventes illicites de drogues en cryptomonnaies sur le dark web. Certains de ces acteurs utilisent les cryptomonnaies pour financer des équipements militaires, notamment dans le cadre de la guerre en Ukraine.
  • Le rapport de mi-année de Chainalysis sur la criminalité liée aux cryptomonnaies révèle une baisse globale de 19,6 % des activités illicites, mais une hausse notable des fonds volés et des attaques avec ransomware. Les cybercriminels ont presque doublé le montant des fonds volés, atteignant 1,58 milliard de dollars, tandis que les paiements de ransomware pourraient battre des records cette année. L’attaque la plus importante a vu une rançon de 75 millions de dollars payée à un groupe. Les cibles principales incluent désormais les entreprises centralisées et les infrastructures critiques.
  • Les attaques avec le ransomware Magniber ont récemment augmenté, touchant principalement des utilisateurs individuels dans le monde entier. Ces infections sont souvent liées à l’exécution de logiciels pirates ou de générateurs de clés, et les rançons exigées varient de 1 000 à 5 000 dollars en Bitcoin. Le ransomware chiffre les fichiers des victimes et ajoute des extensions aléatoires aux noms de fichiers. Actuellement, il n’existe aucun moyen gratuit de déchiffrer ces fichiers. 
  • Quorum Cyber a identifié un nouveau malware, SharpRhino, utilisé par le groupe Hunters International. Ce Remote Access Trojan (RAT), écrit en C#, est distribué via des sites typosquattés qui imitent des outils légitimes comme Angry IP Scanner, souvent utilisés par les administrateurs réseau. Une fois installé, SharpRhino donne aux attaquants un accès à distance aux systèmes visés, permettant l’exécution de commandes, notamment des scripts PowerShell, et facilitant l’élévation de privilèges. 
  • Le groupe de ransomware Mad Liberator, identifié par l’équipe Sophos X-Ops, utilise des techniques d’ingénierie sociale pour cibler les utilisateurs de logiciels d’accès à distance comme Anydesk. Leurs attaques visent principalement l’exfiltration de données, avec des tactiques de double extorsion. En usurpant des sessions légitimes, ils trompent les victimes pour installer des fichiers malveillants déguisés en mises à jour Windows, tout en désactivant l’entrée utilisateur.
  • Selon les équipes Talos de Cisco, le groupe de ransomware BlackByte s’avère bien plus actif qu’il n’en donne l’impression : il ne dévoilerait publiquement que 20 à 30 % de ses attaques réussies. En outre, le groupe utilise des techniques éprouvées combinées à des vulnérabilités récemment divulguées, comme la CVE-2024-37085, pour cibler les infrastructures critiques.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close