concept w - stock.adobe.com

Actualites

Ransomware : un début d’année d’une rare violence

Le mois de janvier a été marqué par un nombre de revendications de cyberattaques particulièrement élevé, que ce soit par rapport à décembre 2024 ou aux mois de janvier des années précédentes. Et cela vaut pour la France.

Valéry Rieß-Marchive
par
Publié le: 10 févr. 2025

En janvier 2025, ransomware.live a compté plus de 570 revendications sur des sites vitrine d’enseignes de ransomware. Au total, après l’intégration des cas constatés dans la presse internationale et les corrections des dates de survenue d’attaque, nous comptons 440 cyberattaques et revendications à travers le monde.

Ce décalage s’explique notamment par le délai de revendication observation chez plusieurs enseignes – de quelques semaines à plusieurs mois. On pense bien sûr à Akira, mais cela vaut aussi pour INC Ransom ou RansomHub, par exemple. En outre, nous n’avons compté la série de victimes de Cl0p avec l’exploitation en masse de la vulnérabilité CVE-2024-50623 que comme un cas ; une vaste campagne.

Il n’en reste pas moins que ce volume observé pour janvier 2025 est particulièrement élevé et renvoie à des mois tels que celui de février 2024 – loin des pics de l’an passé, mais dans la moyenne. C’est surtout beaucoup pour un mois de janvier, habituellement marqué par la trêve des fêtes religieuses orthodoxes. 

Certes, depuis 2021, le nombre de revendications et cyberattaques constatées au mois de janvier ne cesse de progresser d’une année sur l’autre, mais pas dans de telles proportions : pour janvier 2025, la progression sur un an, à 42 %, relève de l’explosion.

Une anomalie statistique ? Pas sûr. Cybermalveillance.gouv.fr a reçu un nombre record de demandes d’assistance pour rançongiciel en janvier : près de 230 (hors particuliers). Et cela après un mois de décembre particulièrement intense. En janvier 2024, le service n’avait reçu que 104 demandes d’assistance pour ransomware, hors particuliers toujours.

L’Amérique du Nord s’inscrit toujours en tête des cas connus, listés à 220, bien en deçà des records d’octobre et novembre 2024. Et si l’activité malveillante semble avoir bien repris outre-Manche, dans la région APAC et en Amérique Latine, la région Allemagne-Autriche-Suisse semble profiter d’une accalmie au moins passagère.

Le reste de l’actualité en bref

  • Sophos décrit deux campagnes de ransomware utilisant des tactiques d’ingénierie sociale via Microsoft Teams et des attaques par email. Les groupes de menaces, nommés STAC5143 et STAC5777, exploitent des fonctionnalités de Microsoft Office 365 pour accéder aux organisations cibles, potentiellement pour voler des données et déployer des ransomwares. STAC5143 utilise des attaques par email-bombing et des appels Teams frauduleux pour prendre le contrôle des ordinateurs des victimes, tandis que STAC5777 se concentre sur des actions manuelles et des scripts pour installer des logiciels malveillants. Ces campagnes montrent une augmentation des tactiques d’ingénierie sociale et d’exploitation de services légitimes pour des attaques de ransomware.
  • Cato Networks se penche sur Hellcat, un nouveau groupe de ransomware apparu en 2024, qui cible les infrastructures critiques, les institutions gouvernementales, éducatives et énergétiques. Hellcat utilise un modèle de ransomware-as-a-service (RaaS), offrant des outils et une infrastructure à des affiliés en échange d’une part des profits. Le groupe emploie des tactiques de double extorsion, visant à humilier et à exercer une pression publique sur ses victimes. Nous nous étions penchés sur sa revendication d’attaque contre Schneider Electric.
  • L’enseigne de ransomware Interlock affecte les organisations de santé, exposant des vulnérabilités qui mettent en danger des millions de personnes. Interlock utilise des tactiques de double extorsion, chiffrant les données des victimes et menaçant de divulguer des informations sensibles si les demandes de rançon ne sont pas satisfaites. Le groupe utilise des techniques sophistiquées telles que le phishing, les fausses mises à jour logicielles et les sites web malveillants pour obtenir un accès initial.
  • Halcyon explore une technique de ransomware unique qui exploite les services natifs d’AWS pour chiffrer les buckets Amazon S3 en utilisant le chiffrement côté serveur (SSE-C). Cette méthode rend les données inaccessibles sans le paiement d’une rançon, car il n’existe actuellement aucun moyen connu de récupérer les données chiffrées de cette manière.
  • Des attaques de ransomware visant les infrastructures virtualisées basées sur VMware ESXi utilisent le tunneling SSH pour maintenir une persistance furtive. Les attaquants exploitent les appliances ESXi, souvent non surveillées, pour établir des tunnels SOCKS entre leurs serveurs de commande et contrôle (C2) et l’environnement compromis. Cela leur permet de se fondre dans le trafic légitime et d’opérer avec un risque de détection minimal. Cette approche pourrait être appliquée à d’autres environnements de virtualisation.
  • Arctic Wolf décrit une campagne observée le 22 janvier 2025, impliquant un accès non autorisé à des appareils exécutant le logiciel SimpleHelp RMM. Cette campagne survient peu après la divulgation publique de plusieurs vulnérabilités dans SimpleHelp par Horizon3 (CVE-2024-57726, CVE-2024-57727, et CVE-2024-57728), qui permettent aux attaquants de télécharger des fichiers arbitraires, d’en téléverser en tant qu’utilisateur administratif, et d’escalader les privilèges.

Pour approfondir sur Menaces, Ransomwares, DDoS