Les pirates ne désarment pas : Lockbit est toujours en tête des gangs les plus actifs malgré le vaste coup de filet de l’opération Cronos menée par les agences de lutte contre la cybercriminalité en février 2024. Le paysage des ransomwares évolue rapidement et a déjà beaucoup changé depuis le début de l’année. Le darkweb est un pharmakon, à la fois poison mais aussi remède. Pour comprendre et combattre les groupes criminels, la collecte de renseignements sur les menaces à partir des forums du darkweb et des sites de fuite de codes d’accès et données est une aide précieuse.
Le graphique ci-dessous issu du rapport de Searchligt Cyber est un cliché actuel de l’état des lieux de la menace internationale des ransomwares. Lockbit garde encore de beaux restes malgré l’opération Cronos, suivi par Play, Ransomweb, Blackbasta, 8Base qui sont tous en augmentation sur le plan du nombre de victimes.
Les menaces diffèrent selon les pays. Par exemple, les équipes de sécurité aux Etats-Unis sont particulièrement attentives à BlackBasta qui cible le secteur et les infrastructures nationales critiques tandis que Quilong, un groupe de ransomware qui ne figure pas dans le tableau ci-dessus, vise les institutions de santé au Brésil et devient une priorité absolue à la combattre pour les RSSI dans ce pays.
Le « modèle économique » des pirates repose, comme pour les services légaux, sur les ransomware-as-a-service (RaaS), ce qui signifie qu'ils louent leurs outils et méthodes malveillants à des affiliés pour mener des attaques en échange d'un pourcentage
des recettes
Les groupes de ransomwares ont repris le collier
Les 5 groupes les plus actifs, respectivement Lockbit, Play, Ransomweb, Blackbasta, 8Base, opèrent selon des règles relativement similaires mais sont plus ou moins discretssur le darkweb.
Le ransomware Play est actif depuis juin 2022. Il doit son nom à l'extension « .play » qu'il ajoute aux fichiers qu'il crypte. Des tactiques partagées par d'autres ransomwares tels Nokoyawa et Hive. Nokoyawa et Hive. La coopération joue aussi entre pirates. Ainsi, Play partage une partie de son infrastructure avec le groupe Quantum RaaS pour organiser des attaques. A l'exception de son site de fuites, il ne s'affiche pas sur les forums du dark web.
Apparu en février 2024, RansomHub a vite pris du galon et ses représentants ont été observés en train de recruter des affiliés sur des forums du dark web en leur proposant une commission fixe de 10 %. En sus, la possibilité de collecter les rançons directement auprès des victimes avant de payer le groupe principal. Un accord commercial bien ficelé en quelque sorte.
BlackBasta, actif depuis avril 2022, se distingue par un volume d'attaques élevé et l'utilisation d'outils personnalisés avec de liens présumés avec le groupe cybercriminel FIN7. Bien qu'il fasse régulièrement des victimes de premier ordre, BlackBasta se montre peu sur les forums du dark web.
8Base est devenu l'un des groupes de RaaS les plus actifs en 2024. Il opère depuis avril 2022 et son pouvoir de nuisance s'est accéléré à l'été 2023 avec des actions en hausse depuis le début de l'année.
Le renseignement sur le dark web est une source très intéressante pour les équipes de sécurité et complète utilement les outils et méthodes pour lutter contre les cyberisques.