" La cybersécurité est toujours un jeu du chat et de la souris, surtout lorsqu’il s’agit de groupes d’acteurs malveillants bien établis. Tout comme ceux qui défendent et traquent les menaces, les acteurs malveillants eux-mêmes disposent d’ingénieurs talentueux et innovants qui s’efforcent de devancer et de déjouer nos capacités de prévention, de détection et d’expulsion. Le démantèlement d’Emotet est une opération sophistiquée menée par les forces de l’ordre de plusieurs pays, dont l’exécution a nécessité beaucoup de temps et d’argent. Bien que ce démantèlement soit une victoire, il n’a pas permis d’éradiquer complètement le groupe ou la menace, et il n’est pas souvent possible de consacrer un tel niveau d’investissement à chaque groupe.

Ce que nous pouvons apprendre des démantèlements des précédents groupes, c’est que, même s’ils sont sophistiqués, ils ne sont pas à l’abri d’erreurs. C’est pourquoi les renseignements sur les menaces et les cybercriminels sont si importants pour les forces de l’ordre afin de pouvoir suivre le comportement d’un groupe. Au bout du compte, des erreurs peuvent être commises et conduire à une exposition de ses membres et à des possibilités d’arrestation.

En outre, lorsqu’une partie d’un groupe est démantelée, les membres restants se regroupent ou se séparent en de nouvelles organisations. Comme dans un arbre généalogique, un code et des tactiques, techniques et procédures (TTPs) similaires peuvent survivre dans une nouvelle génération et aider les chercheurs en sécurité et les défenseurs à se préparer. C’est ce qui s’est passé avec Emotet, qui est réapparu en 2022 avec quelques modifications de son logiciel malveillant. Les groupes expérimentés de ce type se regroupent, apportent quelques améliorations à leur infrastructure et reprennent les attaques. Ils en tirent des leçons qui leur permettront d’être plus efficaces à l’avenir, mais ils ne se réinventent pas à 100 %.

Dans les mois à venir, nous pouvons nous attendre à voir davantage de campagnes d’extorsion. L’époque où les ransomwares ne cherchaient qu’à chiffrer vos fichiers qu’en échange de paiements en crypto-monnaies est révolue. Des statistiques récentes suggèrent que les revenus globaux des ransomwares ont chuté de 40 % entre 2021 et 2022, car les organisations tirent parti de sauvegardes efficaces et de procédures de gestion des incidents pour reprendre leurs activités sans payer. Les groupes de ransomware ont cependant une bonne expérience de l’adaptation et du dépassement des obstacles pour réaliser des profits. Les organisations compromises aujourd’hui peuvent constater un espionnage industriel ou un vol de propriété intellectuelle ou de données clients. Ces données peuvent ensuite être retenues contre une rançon supplémentaire ou vendues à un tiers. L’incertitude économique mondiale et l’augmentation des coûts peuvent contribuer à une recrudescence de ceux qui entrent sur le marché, et le modèle de ’ransomware-as-a-service’ en fait une barrière à l’entrée relativement faible pour de nouveaux acteurs novices. Heureusement, les abonnés aux opérations RaaS utilisent des TTPs très similaires, et la mise en place d’une bonne visibilité sur l’intégralité de ses actifs, d’une bonne gestion des correctifs, d’une l’hygiène des informations d’identification et de l’authentification multifactorielle constitue une base solide de protection."