Le nombre d’attaques par ransomware s’effondre. Au cours du premier trimestre de l’année, les cybercriminels ont mené beaucoup moins de cyberattaques que l’an dernier contre des entreprises. Les chercheurs évoquent les effets cumulés d’une foule d’opérations de police visant des gangs réputés…
L’an dernier, le nombre d’attaques par ransomware a explosé. Les chercheurs de Malwarebytes ont enregistré une hausse de 68 % du nombre d’offensives visant à extorquer de l’argent en échange des données volées. Les experts de Chainalysis, spécialisés dans l’étude et la surveillance de la blockchain, abondent dans le même sens et révèlent que le montant versé par les victimes a dépassé le milliard de dollars en un an. C’est presque le double des 567 millions de dollars extorqués un an plus tôt.
« 2023 marque un retour majeur pour les rançongiciels, avec des paiements record et une augmentation substantielle de la portée et de la complexité des attaques », explique Chainalysis.
Pour expliquer cette augmentation des attaques, MalwareBytes pointait du doigt « l’explosion de l’IA », qui permet à des cybercriminels en herbe de se lancer sans la moindre connaissance en informatique, et les nombreuses opérations menées par Lockbit. Le gang russe est d’ailleurs responsable de la plus importante demande de rançon connue à ce jour. Les pirates ont en effet réclamé 80 millions de dollars à Royal Mail en échange des données séquestrées.
De son côté, Chainalysis met en exergue le hack de MOVEit, l’un des plus importants piratages de 2023. Cette immense fuite de données s’est retrouvée à l’origine d’une multitude d’attaques. Enfin, TrendMicro épingle un changement dans la stratégie des cybercriminels. Pour maximiser leurs profits, ils se sont majoritairement attaqués à des petites entreprises, moins bien protégées, au détriment des grandes sociétés, dont les mécanismes de sécurité sont davantage affûtés.
À lire aussi : IBM dévoile l’arme ultime contre les ransomwares, un SSD dopé à l’IA
Une baisse progressive des attaques par ransomware
Au cours du premier trimestre de l’année 2024, la tendance s’est finalement inversée. Les experts de CyberInt ont constaté une chute de 22 % des attaques par ransomware en un trimestre. Les chercheurs n’ont enregistré que 1 048 piratages sur la période qui vient de se conclure. Pour WatchGuard, la donne a commencé à changer dès les trois derniers mois de l’année 2023 avec une baisse de 20 % des attaques identifiées par rapport au précédent trimestre.
La contre-attaque des forces de l’ordre
Derrière cette baisse soudaine du nombre de cyberattaques, on trouve d’abord les efforts soutenus des forces de l’ordre, indique Watchgard. Les autorités ont mené plusieurs opérations d’envergure à l’encontre des groupes spécialisés dans l’extorsion. Citons tout d’abord l’opération Cronos menée par le FBI avec la coopération de 11 pays différents. Cette opération a porté un coup dur à Lockbit, l’un des gangs les plus prolifiques au monde. Privé d’une partie de ses serveurs, le gang a été obligé de relancer une nouvelle plateforme pour publier ses fuites de données sur le dark web.
Malheureusement pour Lockbit, les dégâts en matière de réputation sont plus difficiles à résorber que les dégâts informatiques. L’attaque de la police contre Lockbit a en effet éloigné une partie des abonnés du ransomware. Comme la plupart des groupes criminels, Lockbit propose en effet son logiciel d’extorsion par le biais d’un abonnement. Cette approche permet au gang de diversifier ses sources de revenus.
Échaudés par l’attaque du FBI, les hackers en herbe préfèrent se distancer des services de Lockbit, du moins temporairement. Les affiliés redoutent vraisemblablement que les autorités, qui disposent des clés de déchiffrement de Lockbit, déjouent les attaques par ransomware de Lockbit 3.0. Sans surprise, la débâcle de Lockbit s’est donc accompagnée d’une forte baisse du nombre d’attaques. Le ransomware s’était en effet imposé comme le rançongiciel le plus prolifique au monde, il détenait 25 % des parts du marché de l’extorsion numérique.
Quelques semaines plus tôt, la police s’est également attaquée aux pirates de BlackCat, un autre important gang spécialisé dans les ransomwares. En décembre dernier, le FBI et les forces de police de plusieurs pays ont saisi le site sur le dark web d’ALPHV, alias BlackCat. Les autorités ont mis la main sur les clés de déchiffrement du ransomware. Avec ces clés, le FBI a pu aider plus de 500 victimes de BlackCat. Celles-ci n’ont pas été obligées de verser la rançon pour récupérer un accès à leurs données.
Considérablement affaibli, le gang a été contraint de faire profil bas. Au premier trimestre 2024, BlackCat n’a orchestré que 51 attaques par ransomware, contre 109 lors des trois derniers mois de 2023. Là encore, cette opération de police a contribué à la baisse des attaques par ransomware dans le monde. Aux dernières nouvelles, le gang a simulé sa mort afin d’éviter d’autres enquêtes du FBI. Fin 2023, BlackCat représentait encore 8,1 % des cyberattaques par ransomware dans le monde, selon TrendMicro.
« Depuis 2022, LockBit et BlackCat se sont constamment classés parmi les fournisseurs de ransomware avec le plus grand nombre de détections », résume TrendMicro.
Citons aussi une opération de police visant un gang de hackers ukrainiens en décembre. Europol est parvenu à mettre un terme aux activités des cybercriminels après deux ans d’enquête. Les pirates, interpellés dans la foulée de l’opération, sont soupçonnés d’avoir déployé des malwares sur plus de 250 serveurs informatiques répartis dans 71 pays. Avant leur arrestation, les hackers ont extorqué des centaines de millions d’euros à des entreprises.
Les victimes refusent de payer la rançon
En parallèle, les cybercriminels rencontrent de plus en plus de difficultés à convaincre leurs victimes de verser une rançon, explique CyberInt. D’après un rapport de Coveware, moins de 30 % des victimes acceptent encore de payer la rançon, contre 85 % en 2019. C’est une baisse historique.
Depuis l’année dernière, une part croissante des entreprises piratées refuse fermement de négocier avec les cybercriminels. Ces sociétés estiment que le versement d’une rançon risquerait de nuire à leur image. Elles préfèrent donc que les données dérobées soient divulguées par les pirates. Coverware cite également la « meilleure préparation des organisations » et un manque de confiance dans les promesses des cybercriminels. Les entreprises ont pris conscience que les pirates étaient libres de récolter la rançon tout en conversant les données, ou en revenant à l’assaut quelques années plus tard. Face à des entreprises de plus en plus récalcitrantes, les pirates considèrent parfois que les attaques par ransomware ne sont plus suffisamment lucratives.
C’est pourquoi certains gangs tentent de muscler leurs tactiques d’extorsion. Des cybercriminels vont jusqu’à menacer des quidams, dont des patients atteints de cancer, pour obtenir une rançon. Ils n’hésitent plus non plus à publier des données très sensibles pour essayer de récupérer une rançon. Par ailleurs, certains pirates menacent aussi les entreprises américaines de les dénoncer auprès des autorités. Les sociétés basées aux États-Unis disposent en effet d’un délai de quatre jours ouvrables pour prévenir les autorités d’une attaque. Conscients de la législation, les cybercriminels menacent de divulguer l’information aux organismes de régulation américains une fois ce délai dépassé.
De nouveaux gangs en embuscade
Malgré la baisse des offensives, il ne faut pas baisser la garde trop rapidement, tempère WatchGuard. Dans son rapport, la société explique s’attendre à ce que les ransomwares touchés par des investigations policières fassent leur retour. On a d’ailleurs déjà remarqué une recrudescence des copies de Lockbit au cours des derniers mois, dans le sillage du démantèlement d’une partie de l’infrastructure du gang.
Il faut aussi s’attendre à ce que de nouveaux gangs apparaissent pour prendre la place des entités actuellement sur la touche. D’après CyberInt, des groupes comme RansomHub, Mogilevich,Trisec ou Slug vont finir par s’imposer comme des acteurs de premier plan aux côtés de Lockbit ou BlackCat. Cette émergence de « nouveaux groupes ambitieux qui cherchent à marquer de leur empreinte l’industrie des ransomwares » est un « avertissement pour les entreprises du monde entier ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.