La prévalence des attaques par ransomware a atteint des niveaux sans précédent en 2022. La cybercriminalité devrait coûter aux entreprises 10 500 milliards de dollars par an d'ici 2023, mais elles ont du mal à gérer et à contrer les cybermenaces à l'intérieur et à l'extérieur de leurs organisations.

Les ransomwares ne cessent d’évoluer. Pour s’en prémunir, il devient essentiel pour les entreprises de se tenir informées des dernières tendances, ainsi que des différentes techniques et procédures (TTP) pour s’en protéger.

Il y a urgence si l’on en croit le dernier rapport d'Outpost24 :
  • La France au 5e rang mondial des attaques par ransomware
  • LockBit est le groupe de cybercriminels qui génère le plus de ransomwares (monde et France)
  • 34 % des attaques enregistrées dans l’année, avec une moyenne d'environ 67 attaques par mois, soit un total d'un peu plus de 800 attaques
Malgré la disparition d'importants groupes de cybercriminels tels que CONTI ou anciennement REvil, des entités existantes telles que LockBit, BlackCat, Hive ou encore Karakurt ont fait preuve d'une croissance exponentielle et le nombre de leurs victimes est sans précédent. Résultat, Outpost24 a détecté 2363 entreprises victimes de divulgations de données par divers groupes de ransomware sur des DLS en 2022.



On assiste également à l'émergence de nouveaux groupes, tels que BianLian ou Black Basta, qui démontrent un niveau d'impact qui rivalise - voire dépasse - celui des groupes plus établis.

En examinant de plus près les profils des victimes, les équipes ont constaté que seules deux attaques ont été commises contre des entreprises russes, l'une perpétrée par le groupe BlackCat en mars et l'autre, par le groupe Cuba en juin.

Effacement de données

En outre, aucun cas d'attaque par ransomware à motivation financière contre des entités ukrainiennes a été détecté sur les différents sites de fuite de données. Ces deux idées concordent avec le fait que la plupart des cyberattaques entre la Russie et l'Ukraine n'étaient pas des rançongiciels, mais principalement des attaques par effacement de données ou par déni de service (DDoS).

Au cours de la semaine 35, le groupe LockBit a affirmé qu'il avait été attaqué suite à la fuite de certaines données d'Entrust, une société de cybersécurité déjà victime de ses attaques. Durant cette période, Outpost24 a détecté que non seulement LockBit, mais aussi de nombreux autres DLS de ransomware subissaient une attaque DDOS (déni de service distribué).

En 2022, le groupe de ransomware connu sous le nom de LockBit a présenté un niveau d'activité nettement supérieur à celui des autres organisations. Ce dernier était responsable de 34 % des attaques enregistrées dans l’année, avec une moyenne d'environ 67 attaques par mois, soit un total d'un peu plus de 800 attaques.

C'est presque quatre fois le nombre d'attaques attribuées à BlackCat, le deuxième groupe le plus actif, avec 215 entreprises ciblées. En France, LockBit est également le groupe qui a perpétré le plus d’attaques en 2022 (55 recensées), juste devant Vice Society (10) et BlackCat (5).

Présentation de l’activité de LockBit en 2022 :



LockBit a évolué tout au long de l'année, devenant de loin l'organisation de Ransomware-as-a-Service (RaaS) la mieux établie. En juin - une des périodes où ils étaient le moins actifs - ils ont révélé un nouveau DLS nommé « Lockbit3.0 », mais également une nouvelle version de leur malware, également intitulée « Lockbit3.0 ». Il a été découvert par la suite que la nouvelle variante de LockBit empruntait du code à BlackMatter.

Des groupes éphémères

Enfin, au cours de l'année, les analystes ont vu de nombreux nouveaux groupes intégrer la scène des ransomwares, avant de cesser leurs activités peu de temps après, tels que Entropy, Sparta ou encore Stormous.

Certains de ces groupes, comme 0 mega, sont restés très discrets durant leurs actions, patientant parfois des mois entre deux attaques. Les groupes de ransomware éphémères sont des organisations cybercriminelles qui mènent un petit nombre d'attaques de ransomware avant de disparaître.

La plupart de ces groupes sont motivés par le désir d'un gain financier rapide.
Se concentrant généralement sur des cibles de petite taille, ces groupes exigent des rançons moins importantes, ce qui leur permet non seulement de se faire payer plus facilement, mais aussi de réduire l'impact médiatique de leurs attaques et, par conséquent, l'attention qu'elles suscitent.