Le nombre d’attaques de ransomwares est en chute libre. Au cours du premier trimestre de l’année, les cybercriminels ont mené nettement moins de cyberattaques contre les entreprises que l’année dernière. Les chercheurs évoquent les effets cumulés d’une multitude d’opérations policières ciblant des gangs réputés…
L’année dernière, le nombre d’attaques de ransomwares a explosé. Les chercheurs de Malwarebytes ont enregistré une augmentation de 68% du nombre d’offensives visant à extorquer de l’argent en échange de données volées. Les experts de Chainalysis, spécialisés dans l’étude et le suivi de la blockchain, sont d’accord et révèlent que le montant payé par les victimes a dépassé le milliard de dollars en un an. Cela représente presque le double des 567 millions de dollars extorqués un an plus tôt.
« 2023 marque un retour majeur pour les ransomwares, avec des paiements records et une augmentation substantielle de la portée et de la complexité des attaques »explique Chainalysis.
Pour expliquer cette hausse des attaques, MalwareBytes a pointé du doigt « l’explosion de l’IA », qui permet aux cybercriminels en herbe de se lancer sans la moindre connaissance informatique, et les nombreuses opérations réalisées par Lockbit. Le gang russe est également responsable de la plus grande demande de rançon connue à ce jour. Les pirates ont exigé 80 millions de dollars de Royal Mail en échange des données séquestrées.
De son côté, Chainalysis met en avant le hack MOVEit, l’un des hacks les plus importants de 2023. Cette immense fuite de données a été à l’origine d’une multitude d’attaques. Enfin, TrendMicro identifie un changement dans la stratégie des cybercriminels. Pour maximiser leurs profits, ils se sont principalement attaqués aux petites entreprises, moins bien protégées, au détriment des grandes entreprises, dont les mécanismes de sécurité sont plus sophistiqués.
A lire aussi : IBM dévoile l’arme ultime contre les ransomwares, un SSD alimenté par l’IA
Une baisse progressive des attaques de ransomwares
Au cours du premier trimestre 2024, la tendance s’est finalement inversée. Les experts de CyberInt ont constaté une baisse de 22 % des attaques de ransomwares en un trimestre. Les chercheurs n’ont enregistré que 1 048 piratages au cours de la période qui vient de s’achever. Pour WatchGuard, la situation a commencé à changer au cours des trois derniers mois de 2023 avec une baisse de 20 % des attaques identifiées par rapport au trimestre précédent.
La contre-attaque de la police
Derrière cette chute brutale du nombre de cyberattaques, on retrouve d’abord les efforts soutenus des forces de l’ordre, dit Watchgard. Les autorités ont mené plusieurs opérations d’envergure contre des groupes spécialisés dans l’extorsion. Citons d’abord l’opération Cronos menée par le FBI avec la coopération de 11 pays différents. Cette opération a porté un coup dur à Lockbit, l’un des gangs les plus prolifiques au monde. Privé d’une partie de ses serveurs, le gang a été contraint de relancer une nouvelle plateforme pour publier ses fuites de données sur le dark web.
Malheureusement pour Lockbit, les dommages à la réputation sont plus difficiles à réparer que les dommages informatiques. L’attaque policière contre Lockbit a en effet supprimé certains abonnés rançongiciel. Comme la plupart des groupes criminels, Lockbit propose son logiciel d’extorsion via un abonnement. Cette approche permet au gang de diversifier ses sources de revenus.
Échaudés par l’attaque du FBI, les hackers en herbe préfèrent se distancier des services de Lockbit, du moins temporairement. Les affiliés craignent probablement que les autorités, qui disposent des clés de déchiffrement de Lockbit, ne contrecarrent les attaques du ransomware Lockbit 3.0. Sans surprise, la débâcle de Lockbit s’est donc accompagnée d’une forte baisse du nombre d’attaques. Le ransomware s’était en effet imposé comme le ransomware le plus prolifique au monde, il détenait 25 % de part de marché de l’extorsion numérique.
Quelques semaines plus tôt, la police avait également attaqué aux pirates de BlackCat, un autre gang majeur spécialisé dans les ransomwares. En décembre dernier, le FBI et les forces de police de plusieurs pays ont saisi le site dark web d’ALPHV, alias BlackCat. Les autorités ont mis la main sur les clés de décryptage du ransomware. Grâce à ces clés, le FBI a pu aider plus de 500 victimes de BlackCat. Ils n’ont pas été obligés de payer la rançon pour retrouver l’accès à leurs données.
Considérablement affaibli, le gang a été contraint de faire profil bas. Au premier trimestre 2024, BlackCat n’a orchestré que 51 attaques de ransomware, contre 109 au cours des trois derniers mois de 2023. Là encore, cette opération de maintien de l’ordre a contribué à la baisse des attaques de ransomware dans le monde. Aux dernières nouvelles, le gang a simulé sa mort afin d’éviter de nouvelles enquêtes du FBI. Fin 2023, BlackCat représentait encore 8,1 % des cyberattaques de ransomwares dans le monde, selon TrendMicro.
« Depuis 2022, LockBit et BlackCat se classent régulièrement parmi les fournisseurs de ransomwares avec le plus grand nombre de détections »résume TrendMicro.
Citons également une opération policière visant un gang de hackers ukrainiens en décembre. Europol a réussi à mettre fin aux activités des cybercriminels après deux ans d’enquête. Les hackers, arrêtés dans la foulée de l’opération, sont soupçonnés d’avoir déployé des malwares sur plus de 250 serveurs informatiques répartis dans 71 pays. Avant leur arrestation, les hackers ont extorqué des centaines de millions d’euros aux entreprises.
Les victimes refusent de payer la rançon
Dans le même temps, les cybercriminels ont de plus en plus de mal à convaincre leurs victimes de payer une rançon, explique CyberInt. Selon un rapport de Coveware, moins de 30 % des victimes acceptent encore de payer la rançon, contre 85 % en 2019. Il s’agit d’une baisse historique.
Depuis l’année dernière, une part croissante d’entreprises piratées refuse fermement de négocier avec les cybercriminels. Ces entreprises estiment que le paiement d’une rançon pourrait nuire à leur image. Ils préfèrent donc que les données volées soient divulguées par les pirates. Coverware cite également « une meilleure préparation des organisations » et un manque de confiance dans les promesses des cybercriminels. Les entreprises ont réalisé que les pirates étaient libres de collecter la rançon tout en convertissant les données, ou de riposter quelques années plus tard. Face à des entreprises de plus en plus récalcitrantes, les hackers considèrent parfois que les attaques au ransomware ne sont plus assez lucratives.
C’est pourquoi certains gangs tentent de renforcent leurs tactiques d’extorsion. Les cybercriminels vont jusqu’à menacer des personnes, notamment des patients atteints de cancer, pour obtenir une rançon. Ils n’hésitent plus non plus à publier des données très sensibles pour tenter d’obtenir une rançon. Par ailleurs, certains hackers menacent également les entreprises américaines de les dénoncer aux autorités. Les entreprises basées aux États-Unis disposent de quatre jours ouvrables pour signaler une attaque aux autorités. Conscients de la législation, les cybercriminels menacent de divulguer les informations aux organismes de réglementation américains une fois ce délai passé.
De nouveaux gangs en embuscade
Malgré la baisse des offensives, il ne faut pas baisser la garde trop vite, prévient WatchGuard. Dans son rapport, l’entreprise explique qu’elle s’attend à un retour des ransomwares concernés par les enquêtes policières. On a déjà constaté une augmentation des copies de Lockbit ces derniers mois, dans la foulée du démantèlement d’une partie de l’infrastructure du gang.
Il faut également s’attendre à ce que de nouveaux gangs prennent la place des entités actuellement en marge. Selon CyberInt, des groupes comme RansomHub, Mogilevich, Trisec ou Slug finiront par s’imposer comme des acteurs de premier plan aux côtés de Lockbit ou BlackCat. Cette émergence de « de nouveaux groupes ambitieux cherchant à laisser leur marque dans l’industrie des ransomwares » est un « avertissement pour les entreprises du monde entier ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
