La France au 5ème rang mondial des attaques par ransomware.
Prévalence des attaques par ransomware en 2022
Après avoir attentivement étudié les groupes de ransomware les plus actifs de l'année dernière, l'équipe de recherche KrakenLabs d'Outpost24 partage aujourd’hui les tendances des attaques, les profils des entreprises les plus ciblées et les motivations qui se cachent derrière ces actes de malveillance.
Les dernières tendances des groupes criminels
De nombreux groupes de cybercriminels utilisent le modèle de la double extorsion, en divulguant les noms de leurs cibles ainsi que des données extorquées au sein de leur propre organisation. En surveillant de près les groupes de ransomware les plus actifs qui disposent de leur propre site de fuites de données (DLS), l’équipe de recherche peut détecter, presque en temps réel, la divulgation des attaques de nombreuses entreprises.
Malgré la disparition d'importants groupes de cybercriminels tels que CONTI ou anciennement REvil, des entités existantes telles que LockBit, BlackCat, Hive ou encore Karakurt ont fait preuve d'une croissance exponentielle et le nombre de leurs victimes est sans précédent. On assiste également à l'émergence de nouveaux groupes, tels que BianLian ou Black Basta, qui démontrent un niveau d'impact qui rivalise - voire dépasse - celui des groupes plus établis.
L'activité des ransomwares en chiffres
Les analystes d'Outpost24 ont détecté un total de 2363 entreprises victimes de divulgations de données par divers groupes de ransomware sur des DLS en 2022.
En traçant une courbe des attaques réparties dans le temps par semaine, les analystes d'Outpost24 ont remarqué quelques tendances originales : par exemple, au cours de la 13e semaine de l'année (21 mars), un pic dans le nombre de cibles a été détecté. On pourrait rapidement penser à une corrélation entre cette hausse de victimes et le lancement d'opérations par la Russie contre l'Ukraine, mais il n’en est rien.
En examinant de plus près les profils des victimes, les équipes d'Outpost24 ont constaté que seules deux attaques ont été commises contre des entreprises russes, l'une perpétrée par le groupe BlackCat en mars et l'autre, par le groupe Cuba en juin. En outre, aucun cas d'attaque par ransomware à motivation financière contre des entités ukrainiennes ont été détecté sur les différents sites de fuite de données. Ces deux idées concordent avec le fait que la plupart des cyberattaques entre la Russie et l'Ukraine n'étaient pas des rançongiciels, mais principalement des attaques par effacement de données ou par déni de service (DDoS), comme l'ont signalé l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) et d'autres agences.
Au cours de la semaine 35, le groupe LockBit a affirmé qu'il avait été attaqué suite à la fuite de certaines données d'Entrust, une société de cybersécurité déjà victime de ses attaques. Durant cette période, Outpost24 KrakenLabs a alors détecté que non seulement LockBit, mais aussi de nombreux autres DLS de ransomware subissaient une attaque DDOS (déni de service distribué). Le fait qu'ils suivent tous la même tendance a conduit KrakenLabs à penser qu'une attaque coordonnée s'était produite à ces dates. Après avoir retrouvé une disponibilité normale, le nombre de cibles divulguées a augmenté. Un résultat attendu, puisque la disponibilité de leur DLS n'a pas affecté les opérations des groupes affiliés, de sorte qu'en fin de compte, les attaques n'ont servi qu’à retarder la publication du nom des entreprises ciblées.
Les groupes de ransomware les plus actifs en 2022
En 2022, le groupe de ransomware connu sous le nom de LockBit a présenté un niveau d'activité nettement supérieur à celui des autres organisations. Ce dernier était responsable de 34 % des attaques enregistrées dans l’année, avec une moyenne d'environ 67 attaques par mois, soit un total d'un peu plus de 800 attaques. C'est presque quatre fois le nombre d'attaques attribuées à BlackCat, le deuxième groupe le plus actif, avec 215 entreprises ciblées. En France, LockBit est également le groupe qui a perpétré le plus d’attaques en 2022 (55), juste devant Vice Society (10) et BlackCat (5).
LockBit a évolué tout au long de l'année, devenant de loin l'organisation de Ransomware-as-a-Service (RaaS) la mieux établie. En juin - une des périodes où ils étaient les moins actifs - ils ont révélé un nouveau DLS nommé "Lockbit3.0", mais également une nouvelle version de leur malware, également intitulée "Lockbit3.0". Il a été découvert par la suite que la nouvelle variante de LockBit empruntait du code à BlackMatter. Par ailleurs, leur période la plus active mérite qu’on y prête attention. En septembre, deux des concepteurs du malware ont été dévoilés par un programmeur présumé non rémunéré de l'équipe. En novembre, un homme a été arrêté au Canada pour avoir participé aux campagnes criminelles de LockBit. Ce fait pourrait expliquer le ralentissement de l'activité au cours de cette période, certains affiliés ayant pu envisager de se faire discrets pour un temps.
Des groupes de cybercriminels qui ne s’inscrivent pas dans le temps
Au cours de l'année, les analystes ont vu de nombreux nouveaux groupes intégrer la scène des ransomwares, avant de cesser leurs activités peu de temps après, tels que Entropy, Sparta ou encore Stormous. Certains de ces groupes, comme 0mega, sont restés très discrets durant leurs actions, patientant parfois des mois entre deux attaques.
Les groupes de ransomware éphémères sont des organisations cybercriminelles qui mènent un petit nombre d'attaques de ransomware avant de disparaître. La plupart de ces groupes sont motivés par le désir d'un gain financier rapide, car ils peuvent obtenir une importante somme d'argent grâce à une seule attaque réussie. Se concentrant généralement sur des cibles de petite taille, ces groupes exigent des rançons moins importantes, ce qui leur permet non seulement de se faire payer plus facilement, mais aussi de réduire l'impact médiatique de leurs attaques et, par conséquent, l'attention qu'elles suscitent. Cette méthodologie leur permet également d'échapper aux radars des autorités et aux poursuites judiciaires.
En outre, certains groupes de ransomware éphémères peuvent être motivés par le désir de causer des dommages ou de cibler une organisation ou un individu spécifique.
A l'inverse, certains groupes de ransomware éphémères peuvent être liés à des opérations de plus grande envergure rassemblant un plus grand nombre de cybercriminels et l'attaque par ransomware n'est qu'une étape au sein d'une opération plus longue et plus élaborée. Cependant, la motivation sous-jacente de ce type de groupe est généralement inconnue.
Mais lorsque l'argent facile ne suffit pas, certains groupes optent pour la stratégie du changement de marque. Cela leur permet de continuer avec un profil peu visible et très peu de revendications, tout en maintenant leurs opérations en vie.
Par exemple, on sait qu'Onyx s'est rebaptisé Vsop vers la mi-novembre 2022.
Analyse des victimes de ransomware
Grâce aux données recueillies, les analystes d'Outpost24 KrakenLabs ont pu comprendre ce que ces groupes recherchent et partagent aujourd’hui un tour d’horizon clair du statu quo du RaaS.
Éclairage sur le secteur
En ce qui concerne les secteurs les plus ciblés, les entreprises commerciales et liées aux milieux des affaires ont été les plus touchées par des attaques de ransomware.
On constate ainsi que les secteurs des infrastructures commerciales, de la finance, de la construction, du droit et des affaires ainsi que du commerce de détail et de gros ont été les plus touchés, ce qui peut laisser penser que les acteurs de la menace ciblent principalement les organisations susceptibles d'avoir une plus grande capacité à payer une rançon. Cela met en évidence leurs motivations financières, car ils semblent suivre une tactique de ciblage de “gros poissons”.
Les secteurs qui ont tendance à avoir des ressources plus précieuses et une clientèle plus importante sont aussi considérés comme des cibles plus attrayantes pour les hackers. C'est le cas des secteurs de la finance ou des infrastructures commerciales. Les entreprises de ces secteurs ont également tendance à avoir plus d'employés et de fournisseurs tiers, ce qui augmente le nombre de vecteurs d'attaque potentiels. Il est intrinsèquement plus difficile de sécuriser tous les points d'accès des entreprises comptant un grand nombre d'employés et de sous-traitants travaillant dans des lieux distincts.
Dans d'autres cas, lorsque le fait de garantir la confidentialité des données de leurs clients est essentiel pour l'organisation, les victimes peuvent être plus enclines à payer la rançon. C'est le cas du secteur juridique et commercial.
Dans tous les cas, il est important pour ces organisations d'être particulièrement vigilantes pour se protéger contre les attaques de ransomware en mettant en place des mesures de sécurité robustes et en formant les employés à reconnaître et à signaler toute activité suspecte.
Les analystes de KrakenLabs ont remarqué plusieurs cas où une même entreprise a été attaquée plusieurs fois par le même groupe de ransomware, voire par des groupes différents. Par exemple, en mai, CONTI et Hive ont revendiqué la même victime à la même date. Cela pourrait impliquer que les courtiers d’accès initial les auraient vendues à différentes organisations malveillantes en simultané.
D'autres causes d'attaques simultanées possibles :
● L'incapacité à tirer des leçons des attaques précédentes : Si une entreprise n'analyse pas en détail les attaques précédentes et n'en tire pas de leçons, elle risque davantage d'être victime d'attaques similaires à l'avenir.
● Paiement de la rançon : Certaines entreprises peuvent choisir de payer la rançon demandée par les attaquants afin de retrouver l'accès à leurs données. Cela peut encourager de futures attaques, car les attaquants voient qu'ils peuvent réussir à extorquer de l'argent à l'entreprise.
● Manque de ségrégation dans le réseau : Le manque de ségrégation du réseau et l'absence d'une segmentation adéquate du réseau facilitent la tâche des cybercriminels qui peuvent réaliser des mouvements latéraux et infecter d'autres parties du réseau lors de nouvelles attaques.
● Cible attractive : Certaines entreprises peuvent être ciblées plusieurs fois en raison de la nature sensible de leurs données (ou de leur grand nombre) ou de leur capacité perçue à payer une rançon.
En 2022, de nombreuses entreprises et organisations classées dans la catégorie des secteurs d'infrastructures critiques (selon la définition de la CISA) ont été compromises par des attaques de ransomware.
Depuis le début de la guerre russo-ukrainienne, on a émis l'hypothèse que les secteurs d'infrastructures critiques allaient devenir une cible majeure des acteurs de la menace. Cependant, ces derniers ont représenté un peu plus de la moitié des attaques perpétrées (51 %), l'autre moitié des attaques concernant des secteurs non critiques (49 %).
L'une des raisons pour lesquelles les ransomwares sont particulièrement dangereux dans les secteurs des infrastructures critiques est que ces secteurs sont plus susceptibles de payer la rançon afin de retrouver l'accès à leurs systèmes et à leurs données. Cela ne fait pas que perpétuer le cycle des attaques par ransomware, mais encourage également le développement et la propagation continuelle des ransomwares par les cybercriminels.
Il est important de noter que si la plupart des attaques par ransomware ne ciblent pas de secteurs spécifiques, la nature de ces attaques, qui sont souvent motivées par un gain financier, peut changer au fil du temps.
Néanmoins, il existe des groupes qui, pour des raisons apparemment éthiques, choisissent de ne pas attaquer certains secteurs, tels que les établissements de santé.
Certains groupes peuvent également cibler spécifiquement certains secteurs.
Un exemple clair est celui de Vice Society, qui se concentre sur le secteur de l'éducation, notamment les écoles primaires et secondaires, qui représente une opportunité lucrative pour les cyber attaquants en raison de la présence de nombreux vecteurs d'attaque potentiels. Cela est très probablement dû au manque d'investissement dans des mesures de cybersécurité ou le manque de connaissances du personnel informatique au sein de ces institutions.
Répartition géographique des victimes
Si on analyse la répartition géographique des victimes de ransomware, le constat est clair. Les pays occidentaux sont ceux qui souffrent le plus des attaques de ransomware à motivation économique. Sur les 101 pays différents qui ont enregistré des attaques, 42 % proviennent des États-Unis, tandis qu'environ 28 % sont originaires de pays européens.
Conclusion
Le modèle économique RaaS s'est révélé aussi destructeur pour les victimes que rentable pour les hackers impliqués. Les entreprises et les institutions, qu'elles soient critiques ou non, sont ciblées de la même manière, dans un souci de rentabilité.
Les statistiques recueillies cette année démontrent que la plupart des groupes RaaS ne se soucient pas des secteurs d'activité s'ils peuvent en tirer de l'argent. La grande majorité des groupes de ransomware se concentrent sur les cibles à haut revenu, ce qui en fait une menace mondiale.
Mais cela ne signifie pas que les entreprises ayant un niveau de revenu inférieur sont exemptes de risque. Bien que les principales cibles soient les entreprises à haut rendement, les petites entreprises et les entreprises familiales sont également attaquées. En réalité, le risque pour les petites entreprises a également augmenté, puisque l'activité globale des ransomwares est en hausse au fil des ans.
L'écosystème des groupes de ransomwares s'est avéré très changeant. Il n'est pas surprenant qu'un groupe qui a beaucoup de succès disparaisse soudainement. Mais les attaques se poursuivront, car les cybercriminels se recycleront auprès de nouveaux groupes.
Outpost24 conseille aux organisations touchées par un ransomware de demander conseil à une équipe de gestion de crise fiable et de s'abstenir de payer la rançon.
A propos d'Outpost24
La cybercriminalité devrait coûter aux entreprises 10.500 milliards de dollars en 2023, mais elles ont du mal à gérer et à contrer les cybermenaces à l'intérieur et à l'extérieur de leurs organisations. En réponse à cette tendance, Outpost24 a créé une plate-forme d'évaluation de la sécurité pour aider les organisations à se renforcer avant que les acteurs malveillants ne puissent exploiter leurs faiblesses.
Plus de 2000 clients dans plus de 40 pays à travers le monde font confiance à Outpost24 pour évaluer la sécurité de leurs terminaux, réseaux, applications, Cloud et mots de passe utilisateur pour une visibilité complète des actifs et une hiérarchisation basée sur les risques.