groupes importants.
Premièrement, LockBit 3.0 qui a été ciblé par l’opération Cronos, et deuxièmement ALPHV, également connu sous le nom de BlackCat, qui a subi des changements substantiels suite aux interventions des forces de l’ordre fin 2023. Que sont devenus les membres de ces groupes ? L’analyse de nombreux éléments de preuve, par Analyst1 (une plateforme d’analyse de la menace), suggère que RansomHub, qui est apparu en février 2024, est probablement composé de nombreux anciens affiliés d’ALPHV qui ont rejoint le groupe après la fermeture.
En outre, des preuves indiquent que d’autres anciens affiliés d’ALPHV ont rejoint Cicada3301, qui a fait surface en mai 2024. RansomHub et Cicada3301 affichent des niveaux d’activité élevés et resteront probablement parmi les groupes de ransomwares les plus actifs en 2025.
Doubles extorsions
L’analyse des sites de fuites de données (DLS) de ransomware a permis de faire les observations suivantes : le nombre de demandes en 2024 (5 223) a augmenté d’environ13 % par rapport à 2023 (4 611). Cela représente un taux de croissance plus lent que l’augmentation en 2023 par rapport à 2022 (2 662), où les demandes ont augmenté de manières substantielles de près de 1,5 million d’euros.
Les plaintes croisées ou les tentatives d’extorsion multiples, où plusieurs acteurs ciblent la même victime, sont restées importantes en 2024. Ce fut le cas dans l’affaire Change Healthcare. Les données volées ont d’abord été utilisées par ALPHV pour l’extorsion, puis revendiquées et exploitées dans une seconde tentative par RansomHub. Cela correspond aux recherches précédentes d’Analyst1 sur RansomHouse, un autre groupe cybercriminel qui semble collaborer avec d’autres groupes de ransomwares.
Une analyse de l’ensemble des données de RansomHouse (du 9 mai 2022 au 28 février 2024) a révélé que 11 des 73 victimes réclamées faisaient également l’objet de demandes croisées de la part d’autres groupes. Rappelons que RansomHouse est apparue en 2022. Ce groupe est connu notamment pour avoir revendiqué le vol de 1 To de données à l’Université Paris-Saclay. Autre cible : le fondeur AMD.
Une approche prudente de la réponse aux incidents
Les observations de la phase d’extorsion, impliquant le processus de négociation, révèlent que les données volées restent un outil de pression central. Les tactiques de double extorsion, adoptées pour la première fois en 2020, où les acteurs menacent de publier les données volées, restent courantes. Les attaquants continuent d’exploiter les lois sur la protection des données pour intensifier la pression psychologique et juridiquesur les victimes.
Alors que les ransomwares restent une menace puissante, dans les sections suivantes, nous examinerons les cas d’ALPHV et de LockBit 3.0 pour analyser l’impact de ces actions et l’état actuel de ces groupes dans l’écosystème des ransomwares. Les cas de plaintes croisées et de tentatives d’extorsion multiples démontrent la nécessité d’une évaluation précise et d’une approche prudente de la réponse aux incidents afin d’éviter une mauvaise affectation des ressources, un rétablissement prolongé et une minimisation des dommages financiers et de réputation.
« Il est essentiel de comprendre ces complexités pour réagir efficacement et atténuer les effets de l’incident », insistent les experts d’Analyst1.
