augmentation des attaques par randsomware

Lockbit est de loin le groupe de ransomware le plus prolifique de cet été, suivi par deux ramifications du groupe Conti.

Après une baisse récente, les attaques de ransomware sont de nouveau en hausse. Selon les données publiées par NCC Group, cette résurgence est menée par d’anciens groupes de ransomware-as-a-service (RaaS).

Grâce aux données recueillies en « surveillant activement les sites de fuite utilisés par chaque groupe de ransomware et en récupérant les détails des victimes au fur et à mesure de leur publication », les chercheurs ont déterminé que Lockbit était de loin le groupe de ransomware le plus prolifique en juillet, avec 62 attaques. C’est dix de plus que le mois précédent, et plus de deux fois plus que les deuxième et troisième groupes les plus prolifiques réunis. « Lockbit 3.0 reste le groupe de ransomwares le plus menaçant, écrivent les auteurs, et toutes les organisations devraient s’efforcer de le connaître.

Les deuxième et troisième groupes les plus prolifiques sont Hiveleaks – 27 attaques – et BlackBasta – 24 attaques. Ces chiffres représentent des hausses rapides pour chaque groupe – depuis juin, une augmentation de 440 % pour Hiveleaks, et de 50 % pour BlackBasta.

Il se pourrait bien que la résurgence des attaques de ransomware et l’essor de ces deux groupes particuliers soient intimement liés.

Pourquoi les ransomwares sont en augmentation ?

Les chercheurs du NCC Group ont recensé 198 campagnes de ransomware réussies en juillet, soit 47 % de plus qu’en juin. Aussi forte que soit cette augmentation, elle est encore loin du record atteint au printemps dernier, avec près de 300 campagnes de ce type en mars et en avril.

Pourquoi cette augmentation de menaces ?

En mai, le gouvernement des États-Unis a intensifié ses efforts contre la cybercriminalité russe en offrant jusqu’à 15 millions de dollars pour obtenir des informations précieuses sur Conti, qui était alors le premier gang de ransomware au monde.

« Il est probable que les acteurs de la menace qui subissaient des changements structurels », ont spéculé les auteurs du rapport, « et ont commencé à s’installer dans leurs nouveaux modes de fonctionnement, ce qui a entraîné une augmentation conjointe de leurs compromissions totales. »

Hiveleaks et BlackBasta sont le résultat de cette restructuration. Les deux groupes sont « associés à Conti », notent les auteurs, Hiveleaks en tant qu’affilié et BlackBasta en tant que souche de remplacement. « En tant que tel, il semble qu’il n’ait pas fallu longtemps pour que la présence de Conti filtre à nouveau dans le paysage des menaces, bien que sous une nouvelle identité. »

Maintenant que Conti’s s’est proprement scindé en deux, spéculent les auteurs, « il ne serait pas surprenant de voir ces chiffres augmenter encore à mesure que nous avançons dans le mois d’août. »