
concept w - stock.adobe.com
Ransomware : encore un mois d’une rare violence
Le mois de février s’est inscrit dans la continuité de janvier, confortant l’impression d’un début d’année 2025 d’une violence inédite sur le front des cyberattaques avec rançongiciel, même si cela apparaît moins vrai pour la France.
En février 2025, ransomware.live a compté plus de 950 revendications sur des sites vitrine d’enseignes de ransomware. Au total, après l’intégration des cas constatés dans la presse internationale et les corrections des dates de survenue d’attaque, nous comptons 547 cyberattaques et revendications à travers le monde.
Ce décalage s’explique notamment par le délai de revendication observé chez plusieurs enseignes – de quelques semaines à plusieurs mois. On pense bien sûr à Akira, mais cela vaut aussi pour INC Ransom ou RansomHub, pour ne prendre qu’eux en exemple.
Ainsi, à ce jour, nous avons pu estimer et/ou confirmer la date de survenue de près 20 % des attaques revendiquées en février 2025, et plus de 28 % en janvier, mais nous atteignons déjà, avec le recul, 45 % pour octobre 2024.
En outre, nous n’avons compté la série de victimes de Cl0p avec l’exploitation en masse de la vulnérabilité CVE-2024-50623 que comme un cas ; une vaste campagne qui a conduit à la revendication de plus de 300 victimes le mois dernier.
Il faut également compter avec les revendications de FunkSec et de KillSec, connues pour être particulièrement fantaisistes, ou celles du vrai-faux nouveau Babuk2, qui apparaît recycler essentiellement des données volées antérieurement et proposées à la vente sur des forums bien connus. La filiale roumaine d’Orange en est passée par là.
On relèvera également HellCat qui semble s’être spécialisé dans le vol de données sur des instances Jira en exploitant des identifiants compromis par infostealer, ou encore Fog, engagé dans une campagne de compromission d’instances GitLab, suivant, en toute vraisemblance, un mode opératoire comparable.
Il n’en reste pas moins que le volume observé pour février 2025 est particulièrement élevé et renvoie à des mois tels que celui de novembre 2024, un cran seulement en retrait du pic d’octobre de l’an dernier. Et c’est encore beaucoup pour un mois de février, même s’il est habituellement signe de reprise des hostilités après les fêtes religieuses orthodoxes.
Ce mois de février 2025 s’inscrit toutefois dans la continuité de l’explosion constatée au même mois, l’an dernier, d’une année sur l’autre.
Mais cela est moins vrai pour la France. Tant nos observations que les chiffres de Cybermalveillance.gouv.fr suggèrent un léger repli de la menace, localement, par rapport à décembre et janvier, malgré une progression par rapport à février 2024. Le mois dernier, un peu plus de 150 demandes d’assistance pour cyberattaque avec ransomware (hors particulier) ont ainsi été enregistrées.
Du côté des enseignes, Akira confirme l’explosion de son niveau d’activité, portée par l’arrivée d’anciens de Black Basta, dont l’implosion semble, pour l’heure, se confirmer. Ses liens avec Rhysida et Cactus ont été établis, mais leur confirmation dans les chiffres n’est pas encore établie. L’enseigne Play pourrait également en profiter, même cela reste, là encore, à confirmer.
L’Amérique du Nord s’inscrit toujours en tête des cas connus, listés à 315, au-delà des records d’octobre et novembre 2024. Mais l’activité malveillante semble avoir tout particulièrement repris dans la région Allemagne-Autriche-Suisse, alors qu’elle apparaît stable ailleurs.
Le reste de l’actualité en bref
- Entre juin et octobre 2024, un groupe de menaces inconnu, nommé Green Nailao par le CERT d’Orange Cyberdefense, a ciblé des organisations européennes, notamment dans le secteur de la santé. Ces attaques ont exploité la vulnérabilité CVE-2024-24919 des passerelles de sécurité Check Point, permettant le déploiement des backdoors ShadowPad et PlugX, souvent associées à des intrusions liées à la Chine. Dans certains cas, une charge utile de ransomware inédite, baptisée NailaoLocker, a été déployée, marquant une évolution notable dans les tactiques des attaquants. Trend Micro s’est également penché sur cette menace.
- Entre juin et octobre 2024, des groupes de ransomware ont exploité une vulnérabilité dans le pilote BioNTdrv.sys de Paragon Partition Manager pour obtenir des privilèges système sur Windows. Cette technique, connue sous le nom de « Bring Your Own Vulnerable Driver » (BYOVD), consiste à introduire un pilote vulnérable signé par Microsoft sur le système ciblé, permettant aux attaquants d’exécuter des commandes avec des privilèges élevés. Microsoft a identifié cinq failles dans ce pilote, dont la CVE-2025-0289, activement exploitée par des groupes de ransomware, bien que leurs noms n’aient pas été divulgués.
- Entre 2021 et janvier 2025, un groupe de ransomware nommé Ghost (également connu sous le nom de Cring) a ciblé des organisations dans plus de 70 pays, y compris des infrastructures critiques, des institutions éducatives, des entités gouvernementales et des entreprises de diverses tailles. Les acteurs de Ghost exploitent des vulnérabilités connues dans des services exposés à Internet, notamment CVE-2018-13379, CVE-2010-2861, CVE-2009-3960, CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207, pour obtenir un accès initial aux réseaux des victimes. Ils utilisent ensuite des outils tels que Cobalt Strike et Mimikatz pour escalader les privilèges, échapper aux défenses et déployer des charges utiles de ransomware, notamment Cring.exe, Ghost.exe, ElysiumO.exe et Locker.exe.
- En février 2024, une vulnérabilité critique (CVE-2023-22527) dans Atlassian Confluence a été exploitée sur un serveur Windows, permettant à des attaquants d’exécuter des commandes arbitraires. Après avoir établi un accès initial, ils ont utilisé des outils tels que Metasploit, AnyDesk et Mimikatz pour élever les privilèges, se déplacer latéralement via RDP et exfiltrer des données sensibles vers MEGA.io à l’aide de Rclone. En un peu plus de deux heures, ils ont déployé le ransomware LockBit sur l’ensemble du réseau, notamment en utilisant PDQ Deploy pour automatiser la distribution du ransomware.
- Le 16 janvier 2025, la société de capital-risque et de capital-investissement Insight Partners a détecté un accès non autorisé à certains de ses systèmes d’information, résultant d’une attaque sophistiquée d’ingénierie sociale. Dès la détection de l’incident, l’entreprise a rapidement pris des mesures pour contenir et remédier à la situation, a informé les parties prenantes concernées et notifié les autorités compétentes. Une enquête approfondie est en cours avec l’aide d’experts en cybersécurité tiers pour déterminer l’étendue de l’incident, bien qu’aucune perturbation supplémentaire des opérations n’ait été signalée depuis.