Les ransomwares ne cessent d’évoluer. Pour s’en prémunir, il devient essentiel pour les entreprises de se tenir informées des dernières tendances, ainsi que des différentes techniques et procédures (TTP) pour s’en protéger.
Il y a urgence si l’on en croit le dernier rapport d'Outpost24 :
- La France au 5e rang mondial des attaques par ransomware
- LockBit est le groupe de cybercriminels qui génère le plus de ransomwares (monde et France)
- 34 % des attaques enregistrées dans l’année, avec une moyenne d'environ 67 attaques par mois, soit un total d'un peu plus de 800 attaques
On assiste également à l'émergence de nouveaux groupes, tels que BianLian ou Black Basta, qui démontrent un niveau d'impact qui rivalise - voire dépasse - celui des groupes plus établis.
En examinant de plus près les profils des victimes, les équipes ont constaté que seules deux attaques ont été commises contre des entreprises russes, l'une perpétrée par le groupe BlackCat en mars et l'autre, par le groupe Cuba en juin.
Effacement de données
En outre, aucun cas d'attaque par ransomware à motivation financière contre des entités ukrainiennes a été détecté sur les différents sites de fuite de données. Ces deux idées concordent avec le fait que la plupart des cyberattaques entre la Russie et l'Ukraine n'étaient pas des rançongiciels, mais principalement des attaques par effacement de données ou par déni de service (DDoS).Au cours de la semaine 35, le groupe LockBit a affirmé qu'il avait été attaqué suite à la fuite de certaines données d'Entrust, une société de cybersécurité déjà victime de ses attaques. Durant cette période, Outpost24 a détecté que non seulement LockBit, mais aussi de nombreux autres DLS de ransomware subissaient une attaque DDOS (déni de service distribué).
En 2022, le groupe de ransomware connu sous le nom de LockBit a présenté un niveau d'activité nettement supérieur à celui des autres organisations. Ce dernier était responsable de 34 % des attaques enregistrées dans l’année, avec une moyenne d'environ 67 attaques par mois, soit un total d'un peu plus de 800 attaques.
C'est presque quatre fois le nombre d'attaques attribuées à BlackCat, le deuxième groupe le plus actif, avec 215 entreprises ciblées. En France, LockBit est également le groupe qui a perpétré le plus d’attaques en 2022 (55 recensées), juste devant Vice Society (10) et BlackCat (5).
Présentation de l’activité de LockBit en 2022 :
LockBit a évolué tout au long de l'année, devenant de loin l'organisation de Ransomware-as-a-Service (RaaS) la mieux établie. En juin - une des périodes où ils étaient le moins actifs - ils ont révélé un nouveau DLS nommé « Lockbit3.0 », mais également une nouvelle version de leur malware, également intitulée « Lockbit3.0 ». Il a été découvert par la suite que la nouvelle variante de LockBit empruntait du code à BlackMatter.
Des groupes éphémères
Enfin, au cours de l'année, les analystes ont vu de nombreux nouveaux groupes intégrer la scène des ransomwares, avant de cesser leurs activités peu de temps après, tels que Entropy, Sparta ou encore Stormous.Certains de ces groupes, comme 0 mega, sont restés très discrets durant leurs actions, patientant parfois des mois entre deux attaques. Les groupes de ransomware éphémères sont des organisations cybercriminelles qui mènent un petit nombre d'attaques de ransomware avant de disparaître.
La plupart de ces groupes sont motivés par le désir d'un gain financier rapide.
Se concentrant généralement sur des cibles de petite taille, ces groupes exigent des rançons moins importantes, ce qui leur permet non seulement de se faire payer plus facilement, mais aussi de réduire l'impact médiatique de leurs attaques et, par conséquent, l'attention qu'elles suscitent.