Une diminution des attaques, ou le « calme plat avant la tempête » ? Publication du rapport du second trimestre de Cyberint sur les rançongiciels.
Le rapport « Ransomware Landscape for Q2 » publié par la société de sécurité Cyberint présente un portrait éloquent et bien rédigé de l’état actuel des rançongiciels.
Il contient d’excellentes statistiques. Les attaques de rançongiciel ont fait 10 % moins de victimes au deuxième trimestre. Les États-Unis sont en tête des taux d’infection par une « énorme marge »; ils représentaient 208 des 709 victimes signalées dans le monde. Lockbit est en tête en termes de taux d’infection avec 204, contre son concurrent le plus proche AlphaV avec 58.
En outre, le rapport contient une description convaincante et bien écrite des principaux acteurs de la cybercriminalité et de la façon dont ils se comparent à la concurrence. C’est un peu comme lire un récapitulatif sur les familles criminelles de la mafia.
La mort de Conti ?
Le rapport détaille la disparition de Conti, qui, selon le celui-ci, était jadis « le groupe de rançongiciels le plus populaire du momen ». Conti aurait eu plus de 600 campagnes et un revenu total d’environ 2,7 milliards de dollars américains en crypto-monnaies.
Le gang Conti était bien organisé et géré comme une société, avec des ressources humaines, du développement de produits, et cultivait une image de marque de professionnalisme criminel. Les connaisseurs en rançongiciels se souviendront qu’un chercheur en sécurité ukrainien avait infiltré l’infrastructure du groupe et tout divulgué sur celui-ci – de sa structure à son code source.
Selon le rapport Cyberint, le groupe n’est plus que l’ombre de lui-même et non plus « ceux que nous connaissions et craignions ».
Il semble que les fondateurs soient passés à autre chose, laissant derrière eux un groupuscule qui, selon le rapport, est beaucoup moins « socialement responsable et sophistiqué » et peut-être même « beaucoup moins expérimenté ».
Ce qui reste n’est, selon le rapport, « rien d’autre que le nom d’un groupe qui était important ».
La montée en puissance de Lockbit et d’une multitude de concurrents
Le rapport détaille également la montée en puissance du nouveau leader, Lockbit, qui domine tous les autres groupes en termes de nombre et de portée des attaques. Lockbit a fait sensation il y a quelques semaines lorsqu’il a affirmé avoir piraté la société de sécurité Mandiant. Cela a été démenti par Mandiant et même Lockbit a admis que l’annonce était fausse. Mais le fait que c’était crédible donne du crédit à la réputation naissante du gang.
Bien que Lockbit soit le nouveau géant sur la scène des rançongiciels, le rapport décrit également certains concurrents prometteurs.
- Le groupe karakurt est réapparu après un long silence. Karakurt se concentre sur le vol et la destruction de données, en exploitant les vulnérabilités des logiciels existants. La « plateforme de fuite » de Karakurt répertoriait 34 entreprises au 30 juin, ce qui en fait une « menace croissante ».
- BlackCatALPHV est une nouvelle marque du groupe Darkside qui a connu l’infamie avec l’attaque de Colonial Pipelines. Sa campagne de vol de données et de pression sur les clients et les employés d’un grand hôtel montre avec agressivité qu’ils poursuivront leur stratégie d’extorsion.
- BLACKBASTA a d’abord été supposé être une nouvelle incarnation du gang Conti, mais les auteurs du rapport ne sont pas convaincus qu’il existe suffisamment de similitudes. Il se peut simplement que certaines personnes se déplacent entre les divers gangs. Ils constituent ce qui est devenu un gang de rançongiciels « voler et crypter » assez standard, mais qui se développe à un rythme rapide.
- INDUSTRIAL SPY semble tenter de créer une plate-forme pour révéler les données volées lors d’attaques de rançongiciel. Son objectif, selon le rapport, est d’être le « référentiel ultime » des données des victimes. Leur structure comprend différentes gammes de produits avec des sections premium, générales et gratuites.
Le calme plat avant la tempête
La conclusion générale du rapport est que bien que les attaques de rançongiciels aient diminué, c’est peut-être ce qu’ils appellent « le calme plat avant la tempête ». Alors que certains des leaders initiaux sont disparus ou flirtent avec un possible échec, un nouveau groupe de leaders émergents est prêt à prendre leur place. On ne peut que spéculer sur ce que cela réserve.
Lire aussi :
La semaine dernière dans le monde du rançongiciel – lundi 4 juillet 2022
La marque de rançongiciel Conti est morte, mais le groupe se restructure
Les RSI canadiens privilégient la prévention dans la lutte aux rançongiciels
Adaptation et traduction française par Renaud Larue-Langlois
