Selon ce nouveau rapport, les acteurs du ransomware et de la cyber extorsion utilisent des tactiques plus agressives pour faire pression sur les organisations. Le harcèlement intervient 20 fois plus souvent qu’en 2021, selon les cas de réponse aux incidents étudiés par l’Unit 42™. Ce harcèlement prend en général la forme d’appels et d’emails ciblant un individu particulier, souvent un membre de l’équipe dirigeante, ou même des clients, afin de les contraindre à payer une rançon.

L’année dernière, les attaques par ransomware ont continué à poser un grave problème aux organisations, avec des paiements de rançons allant jusqu’à 7 millions de dollars dans les cas observés par l’Unit 42. Le montant médian exigé était de 650 000 dollars, tandis que le paiement médian était de 350 000 dollars, preuve qu’une négociation efficace peut faire baisser les sommes réellement versées.

Ce qui faut retenir du rapport :

Les attaquants augmentent la pression en multipliant les formes de cyber extorsion

Les groupes de ransomware superposent différentes techniques de cyber extorsion pour amplifier leur impact, leur but étant d’exercer une plus grande pression sur les organisations pour les forcer à verser la rançon. Parmi leurs tactiques figurent le chiffrement, le vol de données, les attaques par déni de service distribué (DDoS) et le harcèlement. Le vol de données, souvent associé aux sites de fuites sur le dark web, est la tactique d’extorsion la plus répandue : 70 % des groupes l’utilisaient fin 2022, soit une augmentation de 30 points de pourcentage par rapport à l’année précédente.

Les sites de fuites regorgent de données

Chaque jour, les chercheurs de l’Unit 42 voient apparaître en moyenne 7 nouvelles victimes de ransomware sur les sites de fuites de données, soit une nouvelle victime toutes les quatre heures. En fait, dans 53 % des attaques par ransomware ayant fait l’objet de négociations, l’Unit 42 observe que les agresseurs ont menacé de publier les données dérobées aux organisations sur leurs sites de fuites. Cette stratégie est utilisée par des groupes aussi bien nouveaux que plus anciens, ce qui indique l’arrivée de nouveaux acteurs déterminés à tirer profit de cette manne, à l’instar de leurs prédécesseurs. Des groupes bien établis comme BlackCat, LockBit et d’autres représentent 57 % des fuites, talonnés de près par de nouveaux groupes (43 %).

Les groupes de ransomware s’attaquent aux cibles les plus vulnérables

L’an dernier, les groupes de ransomware ont mené des attaques qui ont été très médiatisées. Les attaques contre les écoles et les hôpitaux sont notamment montées en flèche, preuve que ces acteurs ne reculent devant rien. On peut notamment citer les attaques menées par Vice Society, responsable des fuites de données de plusieurs grands systèmes scolaires en 2022. Ce groupe reste actif en 2023. Près de la moitié des incidents publiés sur son site de fuite concernent des établissements d’enseignement.

Qu’en est-il pour la France ?

Les groupes de rançongiciels publient des extraits d’informations volées sur le dark web pour intimider les victimes afin qu’elles paient des rançons. Pour mieux comprendre le comportement des groupes de rançongiciels et leur impact sur les cibles en France, l’Unit 42 a analysé les publications sur ces sites en 2022 par acteur menaçant et par secteur. Lockbit surclasse tous les autres groupes, suivent ensuite Vice Society et BlackCat (ALPHV). Les secteurs les plus touchés en France sont dans l’ordre, l’industrie, le retail, les services juridiques, celui de la construction, du transport/logistique et de la santé.

Le rapport fournit également des informations supplémentaires sur les tactiques employées de plus en plus fréquemment par les acteurs de la menace. Il répertorie les secteurs d’activité et les régions géographiques les plus touchés, et décrit les moyens à la disposition des organisations pour mieux se protéger :

Les organisations basées aux États-Unis ont été les plus touchées publiquement, avec 42 % des fuites observées en 2022. Elles sont suivies par les organisations en Allemagne et au Royaume-Uni, avec près de 5 % pour chacun de ces deux pays. La France arrive en 5ème position après le Canada.
En 2022, 30 organisations figurant sur la liste Global 2000 de Forbes ont été publiquement touchées par des tentatives de cyber extorsion. Depuis 2019, des fichiers confidentiels d’au moins 96 de ces organisations ont été en partie exposés publiquement dans le cadre de tentatives d’extorsion.
Le secteur de l’industrie a été le plus ciblé en 2022, avec 447 organisations compromises exposées publiquement sur des sites de fuites.
Au moins 75 % des attaques par ransomware traitées par l’équipe de réponse aux incidents d’Unit 42 résultent d’une exposition de la surface d’attaque.