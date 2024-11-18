Toute bonne nouvelle est la bienvenue lorsqu’il s’agit d’évaluer les tendances de la cybercriminalité d’une année sur l’autre. Au cours des deux dernières années, les rapports Threat Index d’IBM ont apporté un léger répit dans ce domaine en montrant une baisse progressive de la prévalence des attaques par ransomware, qui ne représentent désormais que 17 % des incidents de cybersécurité, contre 21 % en 2021.
Malheureusement, il est trop tôt pour savoir si cette tendance va se poursuivre. Un rapport récent publié par Searchlight Cyber montre qu’il y a eu une augmentation de 56 % des groupes de ransomware actifs au premier semestre 2024, fournissant la preuve convaincante que la lutte contre les ransomwares est loin d’être terminée.
Searchlight Cyber est une société de renseignement sur le dark web qui fournit des outils de surveillance et des plateformes utilisés par les forces de l’ordre, les entreprises et les MSSP pour identifier, suivre et prévenir les cybermenaces en cours.
La société a récemment publié un rapport de mi-année intitulé « Ransomware in H1 2024: Trends from the Dark Web » qui a mis en lumière l’environnement actuel des ransomwares, en se concentrant spécifiquement sur l’activité des groupes de ransomware les plus prolifiques.
Dans ce rapport, les statistiques recueillies par Searchlight Cyber montrent que 73 groupes de ransomware actifs sont actuellement suivis sur le dark web, contre 46 groupes l’année dernière, soit une augmentation de 56 %.
Voici quelques autres points essentiels à retenir :
Luke Donovan, responsable du renseignement sur les menaces chez Searchlight Cyber, a récemment été interviewé afin de recueillir un point de vue supplémentaire sur les conclusions de ce rapport. À propos des mesures rapportées par Searchlight Cyber, il apporte les précisions suivantes :
« Nos chiffres concernant le nombre de victimes d’un ransomware sont largement déterminés par les entreprises que les groupes de ransomware répertorient sur leurs sites compromis sur le dark web… Ces chiffres présentent certaines limites, car des groupes de ransomware ont peut-être attaqué beaucoup d’autres entreprises, mais ont décidé de ne pas répertorier la victime publiquement.
« D’un autre côté, il est toujours possible que des groupes de ransomware listent des entreprises qu’ils n’ont pas réellement attaquées afin de renforcer leur réputation. Cependant, ces chiffres donnent dans l’ensemble une bonne indication des groupes de ransomware les plus actifs sur le dark web. »
Les modèles RaaS sont utilisés depuis plusieurs années. Cependant, à mesure que de nouveaux groupes de ransomware font surface et que les solutions RaaS deviennent plus facilement disponibles, les dangers associés devraient continuer à croître.
Interrogé sur les raisons du succès du modèle RaaS ces dernières années, Luke Donovan explique : « Le succès du modèle RaaS réside dans sa capacité à évoluer. Si l’opérateur du ransomware est aussi la personne qui mène les attaques, il y a une limite naturelle au nombre de victimes qu’il peut revendiquer à tout moment. Externaliser l’attaque elle-même à plusieurs « affiliés », dont certains des plus grands gangs en comptent des dizaines, permet aux groupes de ransomware d’augmenter considérablement le nombre d’entreprises qu’ils peuvent cibler. »
À première vue, certains opérateurs RaaS cherchent à se protéger des conséquences juridiques en faisant porter la responsabilité aux affiliés responsables des attaques. Cependant, de nombreux pays ont mis en place des lois qui responsabilisent à la fois les opérateurs RaaS et leurs filiales lorsqu’il s’agit de l’organisation et de l’exécution des cyberattaques.
« La popularité du modèle RaaS tient davantage à la rentabilité qu’au transfert de la responsabilité juridique. D’ailleurs, la mise en place d’une opération RaaS augmente le risque pour les créateurs de ransomware, car ces groupes ont généralement plus de victimes, ce qui en fait une cible plus importante pour les forces de l’ordre », déclare Luke Donovan.
Compte tenu des implications liées à la fourniture d’outils RaaS à des affiliés non formés ou indisciplinés, l’utilisation continue de ce modèle est surprenant car elle peut attirer une attention indésirable sur les groupes eux-mêmes. C’est en tout cas ce qui a été mis en lumière par la National Crime Agency (NCA) lors de la récente perturbation des opérations de LockBit en février 2024.
Néanmoins, les gains financiers liés à l’expansion des activités criminelles à grande échelle constituent des risques que de nombreux groupes de ransomware ont déjà prouvé ne pas avoir peur de prendre.
Comme nous l’avons mentionné récemment, il a déjà été rapporté que le nombre de victimes de ransomware a diminué ces dernières années. Alors, la montée en puissance des groupes de ransomware doit-elle inquiéter les entreprises ? Oui… et non.
Les récentes perturbations des grands groupes RaaS tels que LockBit et BlackCat ont certainement contribué à la récente diminution des attaques de ransomware. Un autre facteur potentiel peut être attribué à la pénurie de compétences dans les domaines liés à la cybersécurité, qui impactent à la fois les groupes de cybersécurité et de cybercriminalité. Toutefois, cela ne signifie pas qu’une résurgence des attaques de ransomware ne se profile pas à l’horizon.
« Ce que nous observons actuellement, c’est un écosystème de ransomware plus fragmenté… Lorsque de grands groupes de RaaS sont stoppés, nous constatons généralement l’émergence de plusieurs petits groupes imitateurs », déclare le responsable.
Comme le souligne le rapport de Searchlight Cyber, de nombreux nouveaux groupes de ransomware utilisent des méthodes d’attaque très sophistiquées et sont de plus en plus motivés pour détenir une part importante du marché RaaS. Il s’agit d’une combinaison dangereuse, qui oblige les entreprises à rester vigilantes tout en évaluant continuellement leurs stratégies défensives afin de minimiser leur exposition aux ransomwares.