Rapport sur les ransomwares 2023 : la France au 5ème rang mondial des attaques par ransomware

Jacobo Blancas Threat Intelligence Analyst, Outpost24
Alejandro Villanueva Security Analyst, Outpost24

La prévalence des attaques par ransomware a atteint des niveaux sans précédent en 2022. Après avoir attentivement étudié les groupes de ransomware les plus actifs de l’année dernière, l’équipe de recherche Kraken Labs d’Outpost24 partage aujourd’hui les tendances des attaques, les profils des entreprises les plus ciblées et les motivations qui se cachent derrière ces actes de malveillance.

Les ransomwares ne cessent d’évoluer. Pour s’en prémunir, il devient essentiel pour les entreprises de se tenir informées des dernières tendances, ainsi que des différentes techniques et procédures (TTP) pour s’en protéger.

De nombreux groupes de cybercriminels utilisent le modèle de la double extorsion, en divulguant les noms de leurs cibles ainsi que des données extorquées au sein de leur propre organisation. En surveillant de près les groupes de ransomware les plus actifs qui disposent de leur propre site de fuites de données (DLS), nous pouvons détecter, presque en temps réel, la divulgation des attaques de nombreuses entreprises.Malgré la disparition d’importants groupes de cybercriminels tels que CONTI ou anciennement REvil, des entités existantes telles que LockBit, BlackCat, Hive ou encore Karakurt ont fait preuve d’une croissance exponentielle et le nombre de leurs victimes est sans précédent. On assiste également à l’émergence de nouveaux groupes, tels que BianLian ou Black Basta, qui démontrent un niveau d’impact qui rivalise – voire dépasse – celui des groupes plus établis.
Plus d’informations sur les différents groupes RaaS et leur mode de fonctionnement, peuvent être consultés dans notre article de blog.

L’activité des ransomwares en chiffres

Les analystes d’Outpost24 ont détecté un total de 2363 entreprises victimes de divulgations de données par divers groupes de ransomware sur des DLS en 2022.

Nombre de victimes par semaine

En traçant une courbe des attaques réparties dans le temps par semaine, nos analystes ont remarqué quelques tendances originales : par exemple, au cours de la 13e semaine de l’année (21 mars), un pic dans le nombre de cibles a été detecté. On pourrait rapidement penser à une corrélation entre cette hausse de victimes et le lancement d’opérations par la Russie contre l’Ukraine, mais il n’en est rien.

En examinant de plus près les profils des victimes, les équipes ont constaté que seules deux attaques ont été commises contre des entreprises russes, l’une perpétrée par le groupe BlackCat en mars et l’autre, par le groupe Cuba en juin. En outre, aucun cas d’attaque par ransomware à motivation financière contre des entités ukrainiennes ont été detecté sur les différents sites de fuite de données. Ces deux idées concordent avec le fait que la plupart des cyberattaques entre la Russie et l’Ukraine n’étaient pas des rançongiciels, mais principalement des attaques par effacement de données ou par déni de service (DDoS), comme l’ont signalé l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) et d’autres agences.

Au cours de la semaine 35, le groupe LockBit a affirmé qu’il avait été attaqué suite à la fuite de certaines données d’Entrust, une société de cybersécurité déjà victime de ses attaques. Durant cette période, Outpost24 KrakenLabs a alors détecté que non seulement LockBit, mais aussi de nombreux autres DLS de ransomware subissaient une attaque DDOS (déni de service distribué).

Le graphique ci-dessous illustre ainsi les baisses d’activité des différents groupes attaqués.

Groupes de ransomware victimes de DDOS au cours de la dernière semaine d’août 2022

Le fait qu’ils suivent tous la même tendance a conduit KrakenLabs à penser qu’une attaque coordonnée s’était produite à ces dates. Après avoir retrouvé une disponibilité normale, le nombre de cibles divulguées a augmenté. Un résultat attendu, puisque la disponibilité de leur DLS n’a pas affecté les opérations des groupes affiliés, de sorte qu’en fin de compte, les attaques n’aient servi qu’à retarder la publication du nom des entreprises ciblées.

Les groupes de ransomware les plus actifs en 2022

En 2022, le groupe de ransomware connu sous le nom de LockBit a présenté un niveau d’activité nettement supérieur à celui des autres organisations.

Ce dernier était reponsable de 34 % des attaques enregistrées dans l’année, avec une moyenne d’environ 67 attaques par mois, soit un total d’un peu plus de 800 attaques. C’est presque quatre fois le nombre d’attaques attribuées à BlackCat, le deuxième groupe le plus actif, avec 215 entreprises ciblées.

En France, LockBit est également le groupe qui a perpétré le plus d’attaques en 2022 (55 recensées par nos analystes), juste devant Vice Society (10) et BlackCat (5). Présentation de l’activité de Lockbit en 2022 :

LockBit a évolué tout au long de l’année, devenant de loin l’organisation de Ransomware-as-a-Service (RaaS) la mieux établie. En juin – une des périodes où ils étaient le moins actifs – ils ont révélé un nouveau DLS nommé “Lockbit3.0”, mais également une nouvelle version de leur malware, également intitulée “Lockbit3.0”. Il a été découvert par la suite que la nouvelle variante de LockBit empruntait du code à BlackMatter.

Par ailleurs, leur période la plus active mérite qu’on y prête attention. En septembre, deux des concepteurs du malware ont été dévoilés par un programmeur présumé non rémunéré de l’équipe.

En novembre, un homme a été arrêté au Canada pour avoir participé aux campagnes criminelles de LockBit. Ce fait pourrait expliquer le ralentissement de l’activité au cours de cette période, certains affiliés ayant pu envisager de se faire discrets pour un temps.

Des groupes de cybercriminels qui ne s’inscrivent pas dans le temps

Au cours de l’année, les analystes ont vu de nombreux nouveaux groupes intégrer la scène des ransomwares, avant de cesser leurs activités peu de temps après, tels que Entropy, Sparta ou encore Stormous. Certains de ces groupes, comme 0mega, sont restés très discrets durant leurs actions, patientant parfois des mois entre deux attaques.

Les groupes de ransomware éphémères sont des organisations cybercriminelles qui mènent un petit nombre d’attaques de ransomware avant de disparaître. La plupart de ces groupes sont motivés par le désir d’un gain financier rapide, car ils peuvent obtenir une importante somme d’argent grâce à une seule attaque réussie. Se concentrant généralement sur des cibles de petite taille, ces groupes exigent des rançons moins importantes, ce qui leur permet non seulement de se faire payer plus facilement, mais aussi de réduire l’impact médiatique de leurs attaques et, par conséquent, l’attention qu’elles suscitent. Cette méthodologie leur permet également d’échapper aux radars des autorités et aux poursuites judiciaires.

En outre, certains groupes de ransomware éphémères peuvent être motivés par le désir de causer des dommages ou de cibler une organisation ou un individu spécifique.

À l’inverse, certains groupes de ransomware éphémères peuvent être liés à des opérations de plus grande envergure rassemblant un plus grand nombre de cybercriminels, et l’attaque par ransomware n’est qu’une étape au sein d’une opération plus longue et plus élaborée. Cependant, la motivation sous-jacente de ce type de groupe est généralement inconnue.

Mais lorsque l’argent facile ne suffit pas, certains groupes optent pour la stratégie du changement de marque. Cela leur permet de continuer avec un profil peu visible et très peu de revendications, tout en maintenant leurs opérations en vie. Par exemple, on sait qu’Onyx s’est rebaptisé Vsop vers la mi-novembre 2022.

Analyse des victimes de ransomware

Grâce aux données recueillies, les analystes d’Outpost24 KrakenLabs ont pu comprendre ce que ces groupes recherchent et partagent aujourd’hui un tour d’horizon clair du statu quo du RaaS.

Éclairage sur le secteur

En ce qui concerne les secteurs les plus ciblés, les entreprises commerciales et liées aux milieux des affaires ont été les plus touchées par des attaques de ransomware.

Les 10 secteurs les plus ciblés par les groupes de ransomware (les industries critiques sont en bleu plus foncé)



On constate ainsi que les secteurs des infrastructures commerciales, de la finance, de la construction, du droit et des affaires ainsi que du commerce de détail et de gros ont été les plus touchés, ce qui peut laisser penser que les acteurs de la menace ciblent principalement les organisations susceptibles d’avoir une plus grande capacité à payer une rançon. Cela met en évidence leurs motivations financières, car ils semblent suivre une tactique de ciblage de “gros poissons”.

Les secteurs qui ont tendance à avoir des ressources plus précieuses et une clientèle plus importante sont aussi considérés comme des cibles plus attrayantes pour les hackers. C’est le cas des secteurs de la finance ou des infrastructures commerciales.

Les entreprises de ces secteurs ont également tendance à avoir plus d’employés et de fournisseurs tiers, ce qui augmente le nombre de vecteurs d’attaque potentiels. Il est intrinsèquement plus difficile de sécuriser tous les points d’accès des entreprises comptant un grand nombre d’employés et de sous-traitants travaillant dans des lieux distincts.

Dans d’autres cas, lorsque le fait de garantir la confidentialité des données de leurs clients est essentiel pour l’organisation, les victimes peuvent être plus enclines à payer la rançon. C’est le cas du secteur juridique et commercial.

Dans tous les cas, il est important pour ces organisations d’être particulièrement vigilantes pour se protéger contre les attaques de ransomware en mettant en place des mesures de sécurité robustes et en formant les employés à reconnaître et à signaler toute activité suspecte.

Les analystes de KrakenLabs ont remarqué plusieurs cas où une même entreprise a été attaquée plusieurs fois par le même groupe de ransomware, voire par des groupes différents.

Par exemple, en mai, CONTI et Hive ont revendiqué la même victime à la même date. Cela pourrait impliquer que les courtiers d’accès initial les auraient vendues à différentes organisations malveillantes en simultané.

D’autres causes d’attaques simultanées possibles :

  • L’incapacité à tirer des leçons des attaques précédentes : Si une entreprise n’analyse pas en détail les attaques précédentes et n’en tire pas de leçons, elle risque davantage d’être victime d’attaques similaires à l’avenir.
  • Paiement de la rançon : Certaines entreprises peuvent choisir de payer la rançon demandée par les attaquants afin de retrouver l’accès à leurs données. Cela peut encourager de futures attaques, car les attaquants voient qu’ils peuvent réussir à extorquer de l’argent à l’entreprise.
  • Manque de ségrégation dans le réseau : Le manque de ségrégation du réseau et l’absence d’une segmentation adéquate du réseau facilitent la tâche des cybercriminels qui peuvent réaliser des mouvement latéraux et infecter d’autres parties du réseau lors de nouvelles attaques.
  • Cible attractive : Certaines entreprises peuvent être ciblées plusieurs fois en raison de la nature sensible de leurs données (ou de leur grand nombre) ou de leur capacité perçue à payer une rançon.

En 2022, de nombreuses entreprises et organisations classées dans la catégorie des secteurs d’infrastructures critiques (selon la définition de la CISA) ont été compromises par des attaques de ransomware.

De plus, depuis le début de la guerre russo-ukrainienne, on a émis l’hypothèse que les secteurs d’infrastructures critiques allaient devenir une cible majeure des acteurs de la menace.

Cependant, ces derniers ont représenté un peu plus de la moitié des attaques perpétrées (51 %), l’autre moitié des attaques concernant des secteurs non critiques (49 %).L’une des raisons pour lesquelles les ransomwares sont particulièrement dangereux dans les secteurs des infrastructures critiques est que ces secteurs sont plus susceptibles de payer la rançon afin de retrouver l’accès à leurs systèmes et à leurs données. Cela ne fait pas que perpétuer le cycle des attaques par ransomware, mais encourage également le développement et la propagation continuelle des ransomwares par les cybercriminels.

Attaques contre les secteurs d’infrastructures critiques, classification définie par CISA
Répartition des secteurs non critiques

Il est important de noter que si la plupart des attaques par ransomware ne ciblent pas de secteurs spécifiques, la nature de ces attaques, qui sont souvent motivées par un gain financier, peut changer au fil du temps.

Néanmoins, il existe des groupes qui, pour des raisons apparemment éthiques, choisissent de ne pas attaquer certains secteurs, tels que les établissements de santé.

D’autre part, certains groupes peuvent également cibler spécifiquement certains secteurs.

Un exemple clair est celui de Vice Society, qui se concentre sur le secteur de l’éducation, notamment les écoles primaires et secondaires, qui représente une opportunité lucrative pour les cyber attaquants en raison de la présence de nombreux vecteurs d’attaque potentiels. Cela est très probablement dû au manque d’investissement dans des mesures de cybersécurité ou le manque de connaissances du personnel informatique au sein de ces institutions.

Les 5 principaux secteurs visés par Vice Society

Le FBI (Federal Bureau of Investigation), la CISA et le MS-ISAC ont alerté sur Vice Society et la menace qu’elle représente pour les secteurs de l’éducation dans un communiqué commun sur la cybersécurité (CSA) :

“Au cours des dernières années, le secteur de l’éducation, notamment les établissements de la maternelle au lycée, a été une cible fréquente des attaques de ransomware. Les impacts de ces attaques vont de la restriction de l’accès aux réseaux et aux données, au report d’examens, à l’annulation de journées scolaires, à l’accès non autorisé et au vol d’informations personnelles concernant les élèves et le personnel.”

Répartition géographique des victimes

Répartition géographique des attaques (un bleu plus foncé signifie un nombre plus élevé)

Si l’on analyse la répartition géographique des victimes de ransomware, le constat est clair. Les pays occidentaux sont ceux qui souffrent le plus des attaques de ransomware à motivation économique. Sur les 101 pays différents qui ont enregistré des attaques, 42 % proviennent des États-Unis, tandis qu’environ 28 % sont originaires de pays européens.

Les 20 pays qui comptent le plus de victimes

Comme on pouvait s’y attendre, les victimes de ransomware ont tendance à être basées dans des pays occidentaux développés, car les opérateurs de RaaS ont tendance à gagner plus d’argent sur leur dos.

Conclusion

Le modèle économique RaaS s’est révélé aussi destructeur pour les victimes que rentable pour les hackers impliqués. Les entreprises et les institutions, qu’elles soient critiques ou non, sont ciblées de la même manière, dans un souci de rentabilité.

Les statistiques recueillies cette année démontrent que la plupart des groupes RaaS ne se soucient pas des secteurs d’activité s’ils peuvent en tirer de l’argent. La grande majorité des groupes de Ransomware se concentrent sur les cibles à haut revenu, ce qui en fait une menace mondiale. Mais cela ne signifie pas que les entreprises ayant un niveau de revenu inférieur sont exemptes de risque. Bien que les principales cibles soient les entreprises à haut rendement, les petites entreprises et les entreprises familiales sont également attaquées. En réalité, le risque pour les petites entreprises a également augmenté, puisque l’activité globale des ransomwares est en hausse au fil des ans.

L’écosystème des groupes de ransomwares s’est avéré très changeant. Il n’est pas surprenant qu’un groupe qui a beaucoup de succès disparaisse soudainement. Mais les attaques se poursuivront, car les cybercriminels se recycleront auprès de nouveaux groupes.

Nos analystes ont pu observer que certains groupes ont été attaqués en août 2022.

Bien que l’attribution de ces attaques ne soit pas encore claire, il sera intéressant de voir comment ces attaques se développent au fil du temps, surtout dans les cas où leur modèle de double extorsion pourrait être ralenti pendant de longues périodes.

Outpost24 conseille aux organisations touchées par un ransomware de demander conseil à une équipe de gestion de crise fiable et de s’abstenir de payer la rançon.

Il est important de noter que les attaques RaaS débutent dès que les hackeurs obtiennent un accès aux données de leurs victimes, généralement en les achetant auprès de courtiers d’accès initial. Ainsi, la meilleure façon de les combattre est de le faire avant même qu’elles n’aient eu une chance d’attaquer.

Les solutions de sécurité d’Outpost24 vous aideront à identifier les informations d’identification volées avant qu’elles ne représentent un risque pour votre organisation. De plus, comprendre comment ces groupes opèrent est crucial pour renforcer les protocoles et créer une défense efficace contre eux. Notre solution Threat Intelligence fournit des informations précieuses sur ces groupes, y compris le modus operandi, les techniques MITRE ATT&CK, les CIO, et bien plus encore.

About the Author

Pol Casas Threat Intelligence Analyst, Outpost24

Pol est un professionnel dévoué dans le domaine de la cybersécurité, mettant à profit son expertise en tant qu'analyste du cyber-renseignement chez Outpost24 KrakenLabs. Spécialisé dans le Dark Web, il navigue avec précision et perspicacité dans les écosystèmes complexes de vol d'identifiants et de ransomware.

Jacobo Blancas Threat Intelligence Analyst, Outpost24

Jacobo travaille comme analyste en cyber intelligence chez Outpost24. Il est spécialisé dans le Dark Web, ainsi que dans les écosystèmes de vol d’identifiants et de ransomwares. De plus, il a de l'expérience dans les enquêtes sur les incidents relatifs à la cybersécurité.

Alejandro Villanueva Security Analyst, Outpost24

Alejandro est un chercheur en informations sur les menaces techniques avec une solide expérience en informatique et en tests d'intrusion. Fort d'une expérience de près de quatre ans, il partage son point de vue sur les nouvelles cybermenaces, en particulier celles qui proviennent du dark net.