La semaine dernière dans le monde du rançongiciel – lundi 11 juillet 2022

Une diminution des attaques, ou le « calme plat avant la tempête » ? Publication du rapport du second trimestre de Cyberint sur les rançongiciels.

Le rapport « Ransomware Landscape for Q2 » publié par la société de sécurité Cyberint présente un portrait éloquent et bien rédigé de l’état actuel des rançongiciels.

Source : guruXOOX / Getty

Il contient d’excellentes statistiques. Les attaques de rançongiciel ont fait 10 % moins de victimes au deuxième trimestre. Les États-Unis sont en tête des taux d’infection par une « énorme marge »; ils représentaient 208 des 709 victimes signalées dans le monde. Lockbit est en tête en termes de taux d’infection avec 204, contre son concurrent le plus proche AlphaV avec 58.

En outre, le rapport contient une description convaincante et bien écrite des principaux acteurs de la cybercriminalité et de la façon dont ils se comparent à la concurrence. C’est un peu comme lire un récapitulatif sur les familles criminelles de la mafia.

 

La mort de Conti ?

Le rapport détaille la disparition de Conti, qui, selon le celui-ci, était jadis « le groupe de rançongiciels le plus populaire du momen ». Conti aurait eu plus de 600 campagnes et un revenu total d’environ 2,7 milliards de dollars américains en crypto-monnaies.

Le gang Conti était bien organisé et géré comme une société, avec des ressources humaines, du développement de produits, et cultivait une image de marque de professionnalisme criminel. Les connaisseurs en rançongiciels se souviendront qu’un chercheur en sécurité ukrainien avait infiltré l’infrastructure du groupe et tout divulgué sur celui-ci – de sa structure à son code source.

Selon le rapport Cyberint, le groupe n’est plus que l’ombre de lui-même et non plus « ceux que nous connaissions et craignions ».

Il semble que les fondateurs soient passés à autre chose, laissant derrière eux un groupuscule qui, selon le rapport, est beaucoup moins « socialement responsable et sophistiqué » et peut-être même « beaucoup moins expérimenté ».

Ce qui reste n’est, selon le rapport, « rien d’autre que le nom d’un groupe qui était important ».

 

La montée en puissance de Lockbit et d’une multitude de concurrents

Le rapport détaille également la montée en puissance du nouveau leader, Lockbit, qui domine tous les autres groupes en termes de nombre et de portée des attaques. Lockbit a fait sensation il y a quelques semaines lorsqu’il a affirmé avoir piraté la société de sécurité Mandiant. Cela a été démenti par Mandiant et même Lockbit a admis que l’annonce était fausse. Mais le fait que c’était crédible donne du crédit à la réputation naissante du gang.

Bien que Lockbit soit le nouveau géant sur la scène des rançongiciels, le rapport décrit également certains concurrents prometteurs.

  • Le groupe karakurt est réapparu après un long silence. Karakurt se concentre sur le vol et la destruction de données, en exploitant les vulnérabilités des logiciels existants. La « plateforme de fuite » de Karakurt répertoriait 34 entreprises au 30 juin, ce qui en fait une « menace croissante ».
  • BlackCatALPHV est une nouvelle marque du groupe Darkside qui a connu l’infamie avec l’attaque de Colonial Pipelines. Sa campagne de vol de données et de pression sur les clients et les employés d’un grand hôtel montre avec agressivité qu’ils poursuivront leur stratégie d’extorsion.
  • BLACKBASTA a d’abord été supposé être une nouvelle incarnation du gang Conti, mais les auteurs du rapport ne sont pas convaincus qu’il existe suffisamment de similitudes. Il se peut simplement que certaines personnes se déplacent entre les divers gangs. Ils constituent ce qui est devenu un gang de rançongiciels « voler et crypter » assez standard, mais qui se développe à un rythme rapide.
  • INDUSTRIAL SPY semble tenter de créer une plate-forme pour révéler les données volées lors d’attaques de rançongiciel. Son objectif, selon le rapport, est d’être le « référentiel ultime » des données des victimes. Leur structure comprend différentes gammes de produits avec des sections premium, générales et gratuites.

 

Le calme plat avant la tempête

La conclusion générale du rapport est que bien que les attaques de rançongiciels aient diminué, c’est peut-être ce qu’ils appellent « le calme plat avant la tempête ». Alors que certains des leaders initiaux sont disparus ou flirtent avec un possible échec, un nouveau groupe de leaders émergents est prêt à prendre leur place. On ne peut que spéculer sur ce que cela réserve.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

La semaine dernière dans le monde du rançongiciel – lundi 4 juillet 2022

La marque de rançongiciel Conti est morte, mais le groupe se restructure

Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels

Adaptation et traduction française par Renaud Larue-Langlois

 

Jim Love
Jim Love
Jim œuvre dans les domaines de l'informatique et des affaires depuis plus de 30 ans. Il a gravi les échelons à partir de la salle du courrier et a fait tous les métiers, du commis au courrier au PDG. Aujourd'hui, il est directeur des systèmes d'information et de la stratégie numérique chez IT World Canada – le leader canadien de l'édition en TI et du marketing numérique.

Articles connexes

Un duo montréalais lance une plateforme gratuite de formation en cybersécurité.

Deux amis d'enfance, tous deux entrepreneurs basés à Montréal,...

Un gang de rançongiciel commence à divulguer des données volées dans une université québécoise

Le gang de rançongiciel LockBit a commencé à divulguer des données qui, selon lui, auraient été volées le mois dernier dans une université québécoise. Les données proviennent de l'Université de Sherbrooke, qui compte environ 31 000 étudiants et 8 200 professeurs et employés.

Les sites Web du gang de rançongiciel AlphV/BlackCat saisis, le FBI publie un décrypteur

Les autorités américaines ont confirmé le démantèlement du gang de rançongiciel AlphV/BlackCat, notamment la saisie de plusieurs sites de fuite de données et de communication du groupe et la publication d'un décrypteur que les organisations victimes peuvent utiliser pour accéder à nouveau aux données brouillées.

Une commission scolaire du sud de l’Ontario reconnaît un « cyberincident »

L'une des plus grandes commissions scolaires publiques du sud de l'Ontario a reconnu publiquement une cyberattaque, plus d'un mois après sa détection.

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.