En début d’année, selon Ransomlooker l’outil gratuit de Cybernews, le nombre de victimes d’attaques par ransomware a augmenté de 128 % en 2023 par rapport à l’année précédente. La France se retrouve ainsi dans le top 5 des pays ciblés.
Le dernier rapport de Searchlight Cyber's Ransomware Search and Insights repose sur une intéressante source d’informations, à savoir 54 sites du dark web publiés par les pirates et mentionnant les fuites de données dérobées. De fait, les groupes de ransomwares utilisent le dark web pour partager leurs tactiques, acheter leur accès initial, se faire connaître et recruter des affiliés. Une porte d’entrée pour suivre l'émergence de nouvelles menaces de sécurité.
Globalement, une tendance claire s'est dessinée au cours des 12 derniers mois avec une augmentation du volume des attaques et une plus grande diversification des menaces. De petits groupes spécialisés ont émergé à un rythme soutenu et ont rapidement fait des dizaines de victimes. Dans le même temps, les grandes opérations de ransomwares ont également augmenté de volume.
LockBit en tête des risques de ransomwares
LockBit est l'opérateur malveillant qui compte le plus grand nombre de victimes mais alors que ses victimes représentaient un tiers du total affiché sur le dark web au cours des trois derniers mois de 2022, sa part ne représentait plus que 17 % au cours des trois derniers mois de 2023. Reste que sa production a presque doublé le nombre total de ses victimes l'année dernière (Ministère britannique de la défense, Boeing, etc.).Le groupe de ransomwares Clop a connu une accalmie pendant la majeure partie de l'année 2022, mais il y a eu une rapide reprise des attaques en 2023 avec l’exploitation des vulnérabilités des logiciels. Pas moins de 1 000 organisations ont été touchées. Parmi les victimes les plus importantes, figurent la BBC, British Airways et l’ex Pôle emploi devenu France Travail.
Le groupe Hive était un ransomware as a service RaaS qui s'est attaqué aux secteurs de l'énergie et de la santé. Aprtès l’infiltration du FBI, ce groupe est en décroissance. Il en va de même pour ViceSociety, un groupe pratiquant l’extorsion de données visant principalement les organisations dans le secteur de l'éducation. Il s'est fait connaître en menant une série d'attaques ransomware et extorsion de données fin 2023. ViceSociety vise principalement les organisations dans le secteur de l'éducation. Le groupe s'est fait remarquer par une série d'attaques vers la fin de l'année fin 2022 et début 2023 contre, notamment, la Los Angeles Unified School District, une université de Paris et l'université de Duisbourg-Essen.
Les menaces à anticiper pour 2024
Parmi les groupes à redouter pour cette année se trouve le groupe 8Base apparu en juin 2023. Son activité s'est accélérée à l'été 2023 avec un volume croissant de victimes, soit plus de 260 victimes. Ses trois principales cibles sont les services commerciaux et professionnels, les biens d'équipement et les services de santé. 8Base utilise des tactiques de double d'extorsion, à savoir le cryptage des données et leur exfiltration suivies de la menace de les divulguer sur son site du dark web.Rhysida a fait on apparition en juin 2023 et compte déjà plus de 75 victimes à son actif. Le groupe s'est distingué par son attaque contre la British Library en mettant hors service le site web et certains services et en menaçant de faire fuiter les données d'un hôpital privé londonien. Rhysida se distingue par le ciblage des organisations du secteur de l'éducation avec 35 % de ses victimes.
Akira serait une nouvelle souche de ransomwares, apparue en mars 2023 et visant les OS Windows et Linux. Le groupe exploite aussi les vulnérabilités connues dans les tunnels VPN pour obtenir un accès initial à sa cible.
Contre toutes ces menaces, rappelons une fois de plus que les sauvegardes restent le dernier parachute d’une organisation attaquée.
