La semaine dernière dans le monde du rançongiciel – lundi 11 juillet 2022

Une diminution des attaques, ou le « calme plat avant la tempête » ? Publication du rapport du second trimestre de Cyberint sur les rançongiciels.

Le rapport « Ransomware Landscape for Q2 » publié par la société de sécurité Cyberint présente un portrait éloquent et bien rédigé de l’état actuel des rançongiciels.

Source : guruXOOX / Getty

Il contient d’excellentes statistiques. Les attaques de rançongiciel ont fait 10 % moins de victimes au deuxième trimestre. Les États-Unis sont en tête des taux d’infection par une « énorme marge »; ils représentaient 208 des 709 victimes signalées dans le monde. Lockbit est en tête en termes de taux d’infection avec 204, contre son concurrent le plus proche AlphaV avec 58.

En outre, le rapport contient une description convaincante et bien écrite des principaux acteurs de la cybercriminalité et de la façon dont ils se comparent à la concurrence. C’est un peu comme lire un récapitulatif sur les familles criminelles de la mafia.

 

La mort de Conti ?

Le rapport détaille la disparition de Conti, qui, selon le celui-ci, était jadis « le groupe de rançongiciels le plus populaire du momen ». Conti aurait eu plus de 600 campagnes et un revenu total d’environ 2,7 milliards de dollars américains en crypto-monnaies.

Le gang Conti était bien organisé et géré comme une société, avec des ressources humaines, du développement de produits, et cultivait une image de marque de professionnalisme criminel. Les connaisseurs en rançongiciels se souviendront qu’un chercheur en sécurité ukrainien avait infiltré l’infrastructure du groupe et tout divulgué sur celui-ci – de sa structure à son code source.

Selon le rapport Cyberint, le groupe n’est plus que l’ombre de lui-même et non plus « ceux que nous connaissions et craignions ».

Il semble que les fondateurs soient passés à autre chose, laissant derrière eux un groupuscule qui, selon le rapport, est beaucoup moins « socialement responsable et sophistiqué » et peut-être même « beaucoup moins expérimenté ».

Ce qui reste n’est, selon le rapport, « rien d’autre que le nom d’un groupe qui était important ».

 

La montée en puissance de Lockbit et d’une multitude de concurrents

Le rapport détaille également la montée en puissance du nouveau leader, Lockbit, qui domine tous les autres groupes en termes de nombre et de portée des attaques. Lockbit a fait sensation il y a quelques semaines lorsqu’il a affirmé avoir piraté la société de sécurité Mandiant. Cela a été démenti par Mandiant et même Lockbit a admis que l’annonce était fausse. Mais le fait que c’était crédible donne du crédit à la réputation naissante du gang.

Bien que Lockbit soit le nouveau géant sur la scène des rançongiciels, le rapport décrit également certains concurrents prometteurs.

  • Le groupe karakurt est réapparu après un long silence. Karakurt se concentre sur le vol et la destruction de données, en exploitant les vulnérabilités des logiciels existants. La « plateforme de fuite » de Karakurt répertoriait 34 entreprises au 30 juin, ce qui en fait une « menace croissante ».
  • BlackCatALPHV est une nouvelle marque du groupe Darkside qui a connu l’infamie avec l’attaque de Colonial Pipelines. Sa campagne de vol de données et de pression sur les clients et les employés d’un grand hôtel montre avec agressivité qu’ils poursuivront leur stratégie d’extorsion.
  • BLACKBASTA a d’abord été supposé être une nouvelle incarnation du gang Conti, mais les auteurs du rapport ne sont pas convaincus qu’il existe suffisamment de similitudes. Il se peut simplement que certaines personnes se déplacent entre les divers gangs. Ils constituent ce qui est devenu un gang de rançongiciels « voler et crypter » assez standard, mais qui se développe à un rythme rapide.
  • INDUSTRIAL SPY semble tenter de créer une plate-forme pour révéler les données volées lors d’attaques de rançongiciel. Son objectif, selon le rapport, est d’être le « référentiel ultime » des données des victimes. Leur structure comprend différentes gammes de produits avec des sections premium, générales et gratuites.

 

Le calme plat avant la tempête

La conclusion générale du rapport est que bien que les attaques de rançongiciels aient diminué, c’est peut-être ce qu’ils appellent « le calme plat avant la tempête ». Alors que certains des leaders initiaux sont disparus ou flirtent avec un possible échec, un nouveau groupe de leaders émergents est prêt à prendre leur place. On ne peut que spéculer sur ce que cela réserve.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

La semaine dernière dans le monde du rançongiciel – lundi 4 juillet 2022

La marque de rançongiciel Conti est morte, mais le groupe se restructure

Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels

Adaptation et traduction française par Renaud Larue-Langlois

 

Articles connexes

L’Orchestre symphonique de Toronto affecté par l’attaque de rançongiciel de WordFly

L'un des plus grands orchestres du Canada fait partie des organisations nord-américaines victimes collatérales d'une attaque de rançongiciel plus tôt ce mois-ci sur WordFly, une plateforme de communication et de marketing numérique utilisée par les entreprises du domaine des arts, du divertissement, de la culture et du sport.

Une petite ville ontarienne victime d’un rançongiciel

St. Mary's, en Ontario, une ville d'environ 7 500 habitants située une heure et demie au nord-ouest de Toronto en est au cinquième jour à faire face à une attaque de rançongiciel qui a crypté des données.

Les gouvernements doivent faire plus pour lutter contre les rançongiciels

Les gouvernements et les régulateurs doivent faire plus pour contrer les groupes et les individus derrière les attaques de rançongiciels, déclare un groupe représentant les compagnies d'assurance mondiales.

Quatre nouveaux gangs de rançongiciels qu’il faut connaître

Alors que les forces de l'ordre et les agences de renseignement de nombreux pays chassent les gangs de rançongiciels, il n'est pas surprenant que certains groupes de vétérans se dissolvent, restent dans l’ombre ou abandonnent leurs marques et redémarrent sous de nouveaux noms. Pourtant, malgré cette attention des autorités, de nouveaux cybercriminels ne cessent d'émerger, comme l'illustrent deux rapports récents.

La semaine dernière dans le monde du rançongiciel – lundi 18 juillet 2022

« Lilith » est le nom de l'une des nouvelles variétés de rançongiciels identifiées dans un récent rapport de la société de sécurité Cyble dans un blog intitulé New Ransomware Groups on the Rise.