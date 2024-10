En septembre 2024, ransomware.live a compté près de 400 publications sur des sites vitrine d’enseignes de ransomware. Au total, après l’intégration des cas constatés dans la presse internationale et les corrections des dates de survenue d’attaque, nous comptons… 349 cyberattaques et revendications à travers le monde, un chiffre remarquablement bas.

Ce chiffre s’explique notamment par le délai de publication de certaines revendications : le groupe Monti vient par exemple de revendiquer une cyberattaque contre une municipalité américaine effectivement survenue fin juillet. Ces décalages nous ont conduits à revoir à la hausse les comptes de l’été.

Il apparaît donc vraisemblable que nous ayons à revoir les chiffres de septembre au cours des semaines et mois à venir. Pour autant, après un premier semestre apparemment intense, le niveau observable de la menace semble en léger recul par rapport à 2023.

L’équipe de Black Basta n’apparaît pas avoir repris ses activités, mais diverses sources évoquent surtout le choix d’une plus grande discrétion. Si l’écosystème cybercriminel apparaît toujours fortement fragmenté, il commence à donner des signes de stabilisation. De fait, le nombre de re-revendications d’une même victime sur le site vitrine d’une autre enseigne de ransomware – on parle de revendication croisée, ou crossclaim en anglais – a continué de reculer malgré quelques surprises, comme la récente revendication d’une même victime chez RansomHub et Play.

L’acteur qui était anciennement aux commandes de Vice Society semble passé chez INC Ransom, tandis qu’un ancien indépendant de LockBit serait passé chez RansomHub. Et malheureusement pour ses victimes, l’évasive enseigne ThreeAM a commencé à divulguer les données volées lors de ses cyberattaques.

Bonne nouvelle toutefois : l’opération Cronos a débouché, durant l’été, sur 4 nouvelles arrestations liées aux activités de LockBit. Une fuite de données de cybercriminels, survenue durant l’été, pourrait donner lieu à de nouvelles découvertes précieuses pour le travail des forces de l’ordre. Elle suggérerait déjà de possibles liens entre les enseignes Embargo, Brain Cipher, et Meow.

L’Amérique du Nord s’inscrit toujours en tête des cas connus, listés à 191. En fait, la majorité des régions du monde enregistre une baisse de l’activité malveillante observée, à l’exception du Benelux et des Nordiques. Mais cela ne manque pas d’être parfois trompeur.

Ainsi, en France, la surprise vient du nombre de demandes d’assistance, pour ransomware, reçues par Cybermalveillance.gouv.fr (hors particuliers) durant le mois de septembre : 51, soit deux de plus qu’en août et un niveau bas exceptionnel ! En septembre 2023, près de 150 demandes d’assistance de cette nature avaient été reçues.