concept w - stock.adobe.com

Ransomware : 2024 s’achève sur un léger recul d’une menace qui reste prononcée

Le mois de décembre a été marqué par un recul sensible du nombre de victimes de cyberattaques revendiquées comme rapportées, bien plus qu’habituellement. Mais impossible de parler de répit pour autant.

En décembre 2024, ransomware.live a compté plus de 680 revendications sur des sites vitrine d’enseignes de ransomware. Au total, après l’intégration des cas constatés dans la presse internationale et les corrections des dates de survenue d’attaque, nous comptons 405 cyberattaques et revendications à travers le monde.

Ce chiffre s’inscrit en fort retrait par rapport à novembre 2024, pour attendre le niveau de septembre dernier. Mais c’est surtout la première fois, en quatre ans, que le repli est aussi marqué entre novembre et décembre : le dernier mois du calendrier occidental est marqué par une période festive qui ne survient que plus tardivement dans la sphère orthodoxe ; en janvier, un mois habituellement calme sur le front des rançongiciels.

L’enseigne RansomHub continue de s’imposer comme la principale alternative à un LockBit 3.0 remarquablement discret depuis le mois d’août, même si Akira connaît, depuis le début de l’automne, un regain d’activité certain, sur fond d’incertitudes quant à la reprise de celles de Black Basta après une pause estivale particulièrement prolongée.

L’Amérique du Nord s’inscrit toujours en tête des cas connus, listés à 213, bien en deçà des records des mois précédents. L’activité malveillante est en fort recul, sur un mois, dans la région Allemagne-Autriche-Suisse, ainsi que, de manière toutefois moins sensible, outre-Manche et pour le Benelux et les pays nordiques. 

En France, la menace observable recule fortement en décembre, pour retrouver les niveaux de juin et juillet. Mais cela ne vaut pas pour ce qu’en donnent à voir les chiffres de Cybermalveillance.gouv.fr.

Le nombre de demandes d’assistance, pour ransomware, reçues par Cybermalveillance.gouv.fr (hors particuliers) durant le mois de décembre fait apparaître une explosion difficilement cohérente avec les mois précédents : il atteint celui de mars 2024 après quatre mois d’accalmie continue.

Il y a peut-être une explication à cela, au moins partielle : le portail a reçu un grand nombre de demandes d’assistance le jour de la publication de notre premier article sur la cyberattaque ayant touché l’ESN Ecritel. Typiquement, ce type d’incident affecte un nombre négligeable de clients d’une ESN ; il n’est pas à exclure que (ne serait-ce que par précaution) certains clients d’Ecritel se soient tournés vers la plateforme en attendant d’en savoir plus. 

Mais la mi-décembre a également été le moment où l’exploitation en masse de la vulnérabilité CVE-2024-50623 des systèmes de transfert de fichiers managé Cleo par Cl0p a été révélée. Au moins, une soixantaine d’organisations à travers le monde a été affectée. 

Le reste de l’actualité en bref

  • Les Black Lotus Labs de Lumen révèlent que le groupe de cybermenace russe « Secret Blizzard » a infiltré 33 serveurs de commande et de contrôle (C2) utilisés par l’acteur pakistanais « Storm-0156 », connu pour ses activités d’espionnage. Entre décembre 2022 et mi 2023, Secret Blizzard a utilisé cet accès pour déployer ses propres malwares, « TwoDash » et « Statuezy », dans des réseaux liés au gouvernement afghan, et a également compromis les postes de travail des opérateurs pakistanais, accédant ainsi à des données sensibles. En 2024, ils ont étendu leurs opérations en utilisant d’autres familles de malwares, « Waiscot » et « CrimsonRAT », pour collecter des informations provenant de déploiements antérieurs, démontrant une stratégie sophistiquée d’exploitation des infrastructures d’autres acteurs afin de mener leurs propres campagnes.
  • Un adolescent californien de 19 ans, Remington Ogletree, a été arrêté en novembre 2024, soupçonné d’appartenir au groupe de hackers « Scattered Spider ». Il est accusé de fraude électronique et d’usurpation d’identité aggravée, ayant prétendument mené des attaques de phishing pour accéder illégalement aux réseaux informatiques de diverses entreprises, entraînant des pertes de plus de 4 millions de dollars. Cette arrestation s’ajoute à celles de quatre autres membres présumés du groupe, âgés de 20 à 25 ans, inculpés par les autorités américaines pour des activités similaires. 
  • Les forces de l’ordre ont démantelé 27 plateformes de « booters » et « stressers » utilisées pour mener des attaques par déni de service distribué (DDoS), dans le cadre de l’opération PowerOFF. Cette action, coordonnée avec 15 pays, a conduit à l’arrestation de trois administrateurs en France et en Allemagne, et à l’identification de plus de 300 utilisateurs planifiant des attaques. L’opération vise également à dissuader de futures activités criminelles en lançant des campagnes de sensibilisation en ligne et en envoyant des avertissements aux utilisateurs de ces services illégaux.
  • Plus de 25 000 dispositifs SonicWall SSLVPN accessibles publiquement présentent des vulnérabilités critiques, dont environ 20 000 utilisent des versions de firmware SonicOS/OSX que le fournisseur ne prend plus en charge. Ces failles de sécurité ont été récemment exploitées par des groupes de ransomware, tels que Fog et Akira pour accéder aux réseaux d’entreprises. Les administrateurs sont vivement encouragés à mettre à jour leurs dispositifs avec les dernières versions du firmware et à restreindre l’accès aux interfaces de gestion et SSL VPN pour renforcer la sécurité.
  • Daniel Christian Hulea, un Roumain de 31 ans, a été condamné à 20 ans de prison aux États-Unis pour sa participation aux attaques du ransomware NetWalker. Arrêté en Roumanie en juillet 2023 et extradé, il a plaidé coupable en juin 2024 à des accusations de complot de fraude informatique et de fraude électronique. Hulea a admis avoir perçu jusqu’à 21,5 millions de dollars grâce à ces attaques, ciblant notamment des hôpitaux et des entités du secteur de la santé pendant la pandémie de COVID-19. En plus de sa peine de prison, il a accepté de renoncer à cette somme et à un complexe de luxe en construction à Bali, financé avec les revenus des attaques. Il devra en outre payer environ 15 millions de dollars supplémentaires en amendes et pénalités. Cette condamnation s’inscrit dans une série d’actions contre les affiliés de NetWalker, un groupe responsable de plus de 5 000 bitcoins en paiements d’extorsion, soit environ 146,6 millions de dollars.

Pour approfondir sur Menaces, Ransomwares, DDoS