Au premier semestre 2023, 48 groupes exploitant des rançongiciels ont fait ensemble plus de 2.200 victimes. Voilà ce qui ressort clairement des recherches menées par la firme de cybersécurité Check Point Software, qui en a profité pour dresser un top dix des bandes au ransomware les plus dangereuses du moment.
Selon Check Point, pas moins de 66 pour cent des organisations dans le monde ont été touchées par une attaque au ransomware au cours de l’année écoulée. Durant le premier semestre de 2023, les entreprises belges ont été la cible de telles attaques en moyenne à 901 reprises. Dans de nombreux cas, les mêmes groupes criminels sont responsables de la création, de la propagation et de l’exécution de ces rançongiciels.
Clop Ransomware
Clop est l’un des groupes les plus actifs observés par les experts cette année, avec plus d’une centaine d’attaques au cours des cinq premiers mois seulement. La bande semble avoir une préférence pour les organisations, dont le chiffre d’affaires dépasse cinq millions de dollars. On estime que Clop a déjà extorqué en tout environ 500 millions de dollars de rançon. Suite à l’abus par Clop d’une vulnérabilité ‘zero-day’ dans l’appli de transfert MOVEit, le ministère américain de l’intérieur a annoncé des récompenses allant jusqu’à dix millions de dollars pour des informations susceptibles de confirmer un lien entre Clop et des gouvernements étrangers.
Conti Ransomware
Ce groupe également très actif opère sur le principe du ‘ransomware-as-a-service’ (RaaS) et permet à des cybercriminels moins expérimentés d’utiliser son propre malware, à condition de reverser à Conti une partie des bénéfices empochés. Ce qui a rendu le groupe tristement célèbre, c’est son manque d’éthique à l’égard des victimes. C’est ainsi que Conti a lancé des attaques au ransomware contre d’importantes organisations de soins de santé et a exigé des millions de dollars en échange de la restauration des systèmes. Conti est également connu pour divulguer activement les données dérobées. En 2020, le groupe a inondé internet de données privées de plus de 150 entreprises. Cependant, Conti a été lui-même piraté début 2022, après que la bande a exprimé son soutien à l’invasion russe de l’Ukraine.
Darkside Ransomware
Comme Conti, Darkside est également un groupe RaaS, à la différence près que Darkside refuserait de s’en prendre aux institutions médicales, éducatives ou gouvernementales. Mais cela ne rend pas le groupe moins dangereux pour autant, comme on l’a vu avec la menace Colonial Pipeline en mai 2021. Darkside traquerait principalement des vulnérabilités telles que des mots de passe faibles, une connexion RDP (Remote Desktop Protocol) directe au lieu de VPN, des pare-feu mal configurés et l’absence d’authentification à deux facteurs (2FA).
ALPHV (BlackCat)
Ce gang est connu pour ses idées créatives. C’est ainsi que BlackCat utilise le langage de programmation Rust, ce qui rend la désactivation des attaques au ransomware plus difficile qu’avant. Une autre marque distinctive est la tactique dite de triple extorsion, y compris les attaques DDoS. Cette année, le groupe a procédé à plusieurs intrusions dans des aéroports, des raffineries de pétrole et d’autres fournisseurs d’infrastructures critiques. Le groupe semble quelque peu lié à Darkside et aurait peut-être également collaboré avec le cartel REvil figurant ci-après.
REvil (Sodinokibi)
Ce groupe a réussi à infecter des centaines de fournisseurs de services gérés (MSP) au moyen d’un rançongiciel en juillet 2021, lors de l’attaque dénommée Kaseya. En outre, REvil a piraté de nombreuses entités individuelles, allant d’Apple à un sous-traitant nucléaire du gouvernement américain. En janvier de cette même année, suite à des pressions diplomatiques, les autorités russes ont saisi les actifs de REvil, dont 426 millions de roubles et plusieurs dizaines de voitures de luxe. Cependant, cela n’a pas empêché la bande de reprendre ses activités en avril de la même année. REvil exploite également le modèle RaaS. Le groupe est connu pour fournir un accès réseau à des partenaires, qui effectuent des attaques au ransomware ou négocient avec des victimes au nom de REvil.
LockBit
Selon CISA, le ransomware LockBit a été la variante la plus distribuée au monde en 2022. Le groupe est connu pour exploiter des vulnérabilités tant plus anciennes que plus récentes, telles que la Fortra GoAnywhere Managed File Transfer Remote Code Execution Vulnerability (CVE-2023-0669) et la PaperCut MF/NG Improper Access Control Vulnerability (CVE-2023-27350). Les tactiques et techniques utilisées incluent la compromission ‘drive-by’, le phishing (hameçonnage) et l’abus d’applications accessibles au public et de postes de travail distants (RDP).
Maze
Maze est connu pour avoir recours à la double extorsion. Le groupe a déjà attaqué de grandes firmes, notamment Canon, LG et Xerox. Même si d’après les rumeurs, Maze se serait retiré, les activités destructrices du groupe n’en n’ont pas moins créé un modèle pour d’autres groupes de rançongiciels. Maze continuerait donc d’avoir une influence majeure jusqu’à ce jour.
Ryuk
En 2020, Ryuk aurait ciblé des centaines d’hôpitaux. Le groupe est connu non seulement pour crypter les disques et ressources réseau, mais aussi pour prendre le temps de détruire les sauvegardes des données des victimes. Sans sauvegardes externes, la restauration après une telle attaque peut s’avérer extrêmement difficile, voire impossible, en particulier pour les petites organisations. Selon le FBI, Ryuk se serait emparé de plus de 60 millions de dollars en deux ans.
DoppelPaymer
Les pirates de DoppelPaymer exigeaient généralement entre 25.000 et 17 millions de dollars de leurs victimes, notamment des organisations gouvernementales et des groupes d’entreprises. Plus tôt cette année, Europol avait annoncé que la police en Allemagne et en Ukraine avait arrêté deux dirigeants de DoppelPaymer. Les autorités recherchent toujours trois autres membres. Le groupe a des liens avec la Russie et pourrait également être lié au gouvernement de ce pays.
Black Basta
Ce gang est composé de membres de Conti et de REvil et se sert de tactiques, techniques et procédures similaires. Avec des membres hautement qualifiés et expérimentés, Black Basta accède souvent aux entreprises en exploitant des vulnérabilités non corrigées et du code source librement disponible. Le groupe a fait pour la première fois parler de lui en 2022 et a réussi à cibler dix-neuf entreprises de premier plan au cours des premiers mois, mais aussi à lancer une centaine d’autres attaques fructueuses.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici