"La baisse importante de 2022 était encourageante. Mais l’augmentation de 94 % l’année dernière, qui marque un record absolu pour les paiements de rançons, montre que la menace ne cesse de croître. En plus des 1,1 milliard de dollars versés, les entreprises subissent des pertes considérables en raison des baisses de productivité et des coûts de remise en état liés aux attaques. Par exemple, même si aucune rançon n’a été payée, MGM Resorts estime avoir perdu plus de 100 millions de dollars à cause de l’attaque subie en 2023," explique Jackie Koven, Head of Cyber Threat Intelligences chez Chainalysis.

"Il est essentiel de comprendre l’écosystème des ransomwares, d’identifier les cybercriminels potentiels et de démanteler les mécanismes qui leur permettent de mener à bien leurs attaques. Du fait de la dimension internationale de ces dernières, une coopération étroite entre les gouvernements, les forces de l’ordre, et les acteurs technologiques comme Chainalysis, ainsi que le soutien actif des organisations victimes seront nécessaires pour signaler et traiter ces attaques de manière transparente," ajoute-t-elle.

En 2023, Chainalysis a observé l’arrivée de nombreux nouveaux acteurs (et variantes) de ransomwares, attirés par les opportunités de profits élevés et des systèmes de sécurité faibles. Cette expansion inquiétante est alimentée par la popularité croissante et l’accessibilité accrue de Ransomware en tant que service (RaaS). Cela permet à des tiers, appelés affiliés, d’utiliser des logiciels malveillants pour mener des attaques moyennant une part des profits versés aux opérateurs principaux.

Jackie Koven donne un aperçu de la façon dont les groupes de ransomwares et leurs affiliés opèrent : "La montée des courtiers en accès initial (ou initial access brokers (IAB)) a rendu les attaques plus accessibles pour les acteurs malveillants. Les IAB s’introduisent dans les réseaux des victimes potentielles et vendent cet accès pour quelques centaines de dollars seulement. La combinaison d’un IAB et de RaaS prêts à l’emploi permet de mettre en place une attaque de ransomware réussie qui nécessite beaucoup moins de compétences techniques. Nous avons remarqué une corrélation entre les flux vers les portefeuilles des IAB et une augmentation des paiements de rançon. Ainsi, surveiller les IAB pourrait révéler des signes d’alerte tôt et permettre une éventuelle intervention pour limiter les attaques."

Chainalysis a également été en mesure de suivre le mouvement des fonds de rançons pour découvrir comment les cybercriminels blanchissaient leurs gains illicites. L’année dernière, les tactiques des cybercriminels ont changé. Les plateformes d’échanges centralisées ont enregistré le plus faible niveau de concentration de fonds provenant des portefeuilles liés aux ransomwares. En revanche, les services de jeux d’argent, les bridges cross-chains et les entités sanctionnées ont affiché les niveaux de concentration les plus élevés.

"Les criminels se détournent de plus en plus des plateformes d’échange centralisées et des mixeurs, qui constituaient leurs méthodes privilégiées pour blanchir l’argent. Cela est dû à des démantèlements qui ont perturbé ces méthodes traditionnelles. Certains services ont également mis en place des politiques plus strictes de lutte contre le blanchiment d’argent et de KYC (qui consiste à vérifier l’identité et l’intégrité des clients). Par ailleurs, nous avons assisté à un changement dans les préférences des cybercriminels. En suivant les mouvements d’argent, les autorités disposent d’une pièce essentielle du puzzle qui, au bout du compte, les aide à lutter contre cette forme de cybercriminalité," conclut Jackie Koven.