Guides Essentiels

Ransomware : mieux comprendre la menace

Introduction

Les cyberattaques avec ransomware sont de plus en plus incontournables dans les médias, en France et au-delà. Cette médiatisation accrue est notamment le fait de la multiplication d’attaques aux effets souvent bien visibles : la paralysie du système d’information des victimes ne s’avère que rarement facile à cacher. Dès lors, il est difficile de dissimuler la matérialité d’un grave incident de cybersécurité. Cela vaut encore plus pour certains secteurs d’activité, comme la santé, les transports et la logistique, voire les collectivités territoriales et l’enseignement.

Pour autant, la menace apparaît encore largement incomprise, notamment dans ses liens avec une autre : celle des infostealers. Qui plus est, les idées reçues erronées ne manquent pas sur les cyberattaques. Comprendre les méthodes des cybercriminels est toutefois essentiel pour mieux se protéger, se préparer, et savoir comment réagir en cas d’attaque, afin d’aider les forces de l’ordre à enquêter et perturber l’activité des malfaiteurs.

Dessin de François Cointe illustrant une posture de cybersécurité trop faible.Dessin de François Cointe ©LeMagIT

Un petit tour en coulisses s’impose donc, pour voir comment les attaques sont préparées – parfois longtemps à l’avance, et pas toujours sans faire d’erreurs –, mais également comment les cybercriminels essaient de blanchir les cryptoactifs extorqués à leurs victimes. De quoi découvrir comment leurs échecs en la matière font les succès des enquêteurs de la Police nationale et de la Gendarmerie.

Tous les groupes impliqués dans des attaques avec ransomware ne se ressemblent pas. Certains sont plus discrets que d’autres, plus structurés ou au contraire plus ouverts et divers dans leur niveau de sophistication et d’ingéniosité. Les plus réputés ne sont d’ailleurs pas nécessairement les plus actifs : plusieurs rançongiciels peu médiatisés et peu connus du grand public font de très nombreuses victimes, dans le monde entier.

Télécharger gratuitement ce dossier au format PDF

1Décryptage-

Mieux comprendre la menace

Opinions

Pourquoi tant de cyberattaques ?

Parce que la défense, dans toutes ses composantes, n’est pas au niveau. Et si les cyberattaques ne sont pas plus fréquentes, c’est uniquement parce que les assaillants ne sont pas assez nombreux pour cela. Lire la suite

Conseils IT

Ransomware : 12 idées reçues contredites par la réalité des cyberattaques

Certaines idées reçues ont la vie dure, en matière de cyberattaques avec ransomware. La plupart de ces mythes, ou légendes urbaines ont un point commun : elles peuvent conduire à développer un faux sentiment de sécurité. D’où l’importance de rétablir la réalité de la menace. Lire la suite

Conseils IT

Ransomware : les mensonges des cybercriminels

Fournir un outil de déchiffrement, des conseils de sécurité, effacer les données volées… ce sont les trois principales promesses des cybercriminels en cas d’attaque avec rançongiciel. Mais les tiennent-ils ? Lire la suite

Opinions

Ransomware : pourquoi compter les revendications des cybercriminels ne suffit pas

Comptabiliser les revendications des cybercriminels pour en tirer des conclusions paresseuses sur l’intensité de leur activité, c’est leur servir la soupe (ainsi qu’aux adeptes du marketing) de la peur. Lire la suite

Actualités

Ransomware : ceux qui font le plus parler d’eux ne sont (toujours) pas les plus répandus

Cl0p, LockBit, Alphv, Play ou encore Medusa comptent parmi les franchises de rançongiciel les plus connues du moment. Une notoriété qui fait oublier d’autres ransomwares très répandus, à commencer par Dharma, Stop/Djvu et les variants de Phobos. Lire la suite

Conseils IT

Ransomware : pourquoi le retrait de revendication ne signifie pas le paiement de rançon

Lorsqu’une revendication disparaît du site vitrine d’une franchise de rançongiciel, il est tentant de suspecter qu’un paiement est survenu. Mais c’est négliger l’intérêt des cybercriminels à donner cette impression. Lire la suite

Conseils IT

Ransomware : passé par ici, il repassera par là

Plusieurs organisations ayant été attaquées avec un ransomware ont récemment été touchées avec un second. L’indication potentielle du passage d’un attaquant d’une franchise mafieuse à une autre, mais aussi un rappel de l’importance d’un nettoyage en profondeur. Lire la suite

2Mode opératoire-

Dans les pas des cybercriminels

Conseils IT

Ransomware : pourquoi les attaquants se trompent parfois sur leur cible

Les cybercriminels s’appuient sur les services en ligne de ZoomInfo et de Dun & Bradstreet pour qualifier leurs potentielles victimes en devenir. Des services susceptibles d’induire en erreur les attaquants. Lire la suite

Conseils IT

Cyberattaque : comment déterminer quelles données ont été volées ?

Rares sont les entreprises victimes de cyberattaque capables de communiquer rapidement sur la quantité et la nature des données qui leur ont été volées. Parce que c’est rarement facile à établir. Lire la suite

Actualités

Ransomware : quand les attaquants s’attachent à négocier à huis clos

Historiquement, les victimes de cyberattaque avec ransomware semblaient les plus attachées à la discrétion des échanges avec leurs bourreaux. Des franchises telles que BianLian, Royal et Money Message semblent désormais s’en soucier également. Lire la suite

Actualités

FIC 2022 : Comment les criminels brouillent les pistes de leurs transactions en crypto-actifs

Les spécialistes des investigations financières sur la blockchain notent de nouvelles tendances émergentes dans l’utilisation des crypto-actifs par les criminels. Lire la suite

Conseils IT

Cyberattaque : pourquoi la transparence est essentielle avec les forces de l’ordre

En cas de cyberattaque, avec ransomware – ou plus généralement toute forme d’extorsion – porter plainte et être totalement transparent avec la gendarmerie ou la police nationale est essentiel pour lutter contre la cyberdélinquance. Lire la suite

3Victimologie-

Quelques secteurs à la loupe

Actualités

La logistique, un secteur de choix pour les cyberattaques ?

Les sociétés de transport du groupe Guyamier viennent d’être victimes d’une cyberattaque. Une situation dont au moins quatre autres spécialistes de la logistique, en France, ont déjà souffert en 2023. Lire la suite

Actualités

Les cyberattaques dans l’aviation civile

Les cyberattaques connues publiquement s’avèrent relativement rares dans l’aviation civile. Elles n’en sont pas pour autant inexistantes. Rétrospective. Lire la suite

Actualités

Le domaine maritime : zone de risques cyber

Depuis l’Antiquité, les océans sont un espace de liberté, de transport des hommes et des marchandises. Leur numérisation les rend vulnérables aux cyberattaques, même si la culture de gestion du risque y est fortement ancrée. Lire la suite

Actualités

Cybersécurité en santé : une rentrée particulièrement brutale

Dans son bulletin mensuel sur l’origine des incidents de cybersécurité déclarés, l’Agence du numérique en santé fait état de rien moins que 13 cas de rançongiciel et 19 compromissions. Lire la suite

Actualités

Collectivités territoriales : que celles qui n’ont pas eu leur cyberattaque se désignent

L’Anssi indique avoir traité 187 incidents cyber affectant des collectivités territoriales entre janvier 2022 et juin 2023. Plus de trois fois le nombre de cyberattaques connues pour celles-ci. Lire la suite

4Écosystème-

Gros plan sur quelques groupes

Actualités

Hunters International : la franchise de ransomware Hive revient avec une nouvelle marque

La franchise mafieuse Hive semble de retour avec une nouvelle vitrine et une nouvelle marque, Hunters International. Le rançongiciel ayant permis sa découverte conforte le soupçon de lien. Lire la suite

Conseils IT

Ransomware : liens avec Conti, pratiques… ce que l’on sait d’Akira

Apparue en mars, la franchise Akira apparaît fortement liée à feu Conti et, surtout, de plus en plus active. La rédaction a pu suivre plusieurs négociations impliquant Akira. Plongée dans ses activités. Lire la suite

Actualités

Ransomware : oubliez Royal, préparez-vous pour BlackSuit

Le site vitrine du groupe Royal n’est aujourd’hui plus accessible. Mais cette émanation du gang Conti n’a pas disparu : elle semble être en train de changer de marque au profit de BlackSuit. Lire la suite

Actualités

Cyberattaque contre la ville de Betton : que mijote le groupe Medusa ?

Le groupe Medusa a revendiqué l’attaque et demande 100 000 $ de rançon. Faute de paiement, les données seront vraisemblablement diffusées via Telegram d’ici environ 2 semaines. Lire la suite

Conseils IT

Snatch : entre recycleur et lessiveuse de données volées

Apparu en 2018 comme franchise de ransomware en mode service, Snatch s’est depuis transformé en plateforme de diffusion de données volées lors de cyberattaques menées par des tiers, et parfois bien antérieures. Lire la suite

Conseils IT

Ransomware : dans les coulisses des négociations avec Mallox

Les opérateurs de ce rançongiciel utilisent explicitement un chatbot et sont susceptibles d’intervenir à plusieurs dans les échanges. Mais de leur propre aveu, des défauts logiciels fatals pour qui paie en espérant récupérer ses données ne sont pas à exclure. Lire la suite

Conseils IT

Que sait-on du ransomware BlackCat ?

Découvert début décembre, ce ransomware se distingue par le langage de programmation utilisé pour son développement, Rust. Il s’avère hautement personnalisable et peut toucher les systèmes Windows, Linux, ainsi que les environnements virtualisés VMware ESXi. Lire la suite