Les ransomwares empêchent les utilisateurs d’accéder à leur ordinateur ou aux données qui y sont stockées. Ces attaques sont devenues une source massive de revenus pour les cybercriminels, qui s’enrichissent aux dépens des utilisateurs, des entreprises et même des gouvernements, partout dans le monde.

Si la prévalence des ransomwares reste stable, leurs caractéristiques, elles, ont quelque peu évolué. Depuis quelques années, plusieurs gangs utilisent des ransomwares d’extorsion multi-points : dans cette approche, plusieurs méthodes sont utilisées pour pousser les victimes à payer une rançon en échange de leurs données. Si ces rançons ne sont pas payées, les hackers ne se contentent pas de chiffrer les données : souvent, ils les publient également en ligne.

Une nouvelle analyse des données divulguées sur les sites de ransomwares révèle que de nouveaux gangs sont devenus actifs au cours de l’année 2023. Parmi les 60 gangs d’extorsion par ransomware multi-points dont WithSecure a suivi les activités au cours des neuf premiers mois de 2023, 29 sont de nouveaux groupes.

Selon Ziggy Davies, Threat Intelligence Analyst chez WithSecure, ces nouveaux gangs de ransomware suivent en grande partie les stratagèmes de leurs aînés. Pour autant, ces nouveaux venus jouent un rôle-clé dans la persistance du phénomène des ransomwares.

« Lorsque des hackers changent de groupe d’affiliation ou de partenaires, ils amènent avec eux leur code et leurs paramètres d’attaque. Bon nombre des nouveaux groupes que nous avons identifiés cette année tirent clairement leur origine de groupes plus anciens. Par exemple, Akira et plusieurs autres gangs présentent de nombreuses similitudes avec le groupe Conti, dont ils sont probablement issus et qui est aujourd’hui dissous », explique Ziggy Davies.

Les analyses ont permis d’obtenir plusieurs informations notables sur les attaques ransomwares par extorsion multi-points menées en 2023 :

• Au cours des trois premiers trimestres 2023, les fuites de données provenant de groupes de ransomwares ont augmenté de 50 % par rapport à la même période de l’année précédente.
• Lockbit a représenté la plus grande part de ces fuites de données (21 %).
• Les cinq groupes ayant enregistré le plus grand nombre de fuites de données (8Base, Alphv/BlackCat, Clop, LockBit et Play) ont représenté plus de 50 % du total.
• Environ 25 % des fuites de données incluses dans l’analyse proviennent de groupes de ransomwares ayant débuté leur activité en 2023.
• A ce jour, seuls 6 des 60 groupes ont revendiqué des victimes pour chaque mois de 2023.

Malgré le succès actuel des ransomwares, il est rassurant de constater que des stratégies similaires sont réutilisées par les hackers.

« Les ransomwares restent un moyen efficace de gagner de l’argent pour les cybercriminels, si bien qu’ils s’en tiennent le plus souvent à la même recette de base, sans rien proposer de vraiment nouveau ou d’inattendu. Ils sont assez prévisibles, ce qui est une bonne chose pour les professionnels de la cybersécurité, qui savent à quoi ils sont confrontés », conclut Ziggy Davies.