Qu’est-ce qui a motivé cette poussée d’activité ? 2023 a vu des vulnérabilités très médiatisées comme l’injection SQL pour les services MOVEit et GoAnywhere MFT. Les exploits zero-day pour ces vulnérabilités ont entraîné des pics d’infections par ransomware par des groupes comme CL0P, LockBit et ALPHV (BlackCat) avant que les défenseurs ne puissent mettre à jour le logiciel vulnérable.

Les données du site de fuite révèlent qu’au moins 25 nouveaux groupes de ransomware ont émergé en 2023, ce qui indique l’attraction continue des rançongiciels en tant qu’activité criminelle rentable. Malgré l’apparition de nouveaux groupes tels que Darkrace, CryptNet et U-Bomb, beaucoup de ces nouveaux acteurs de la menace par ransomware n’ont pas existé longtemps et ont disparu au cours du second semestre de l’année.

L’analyse de l’Unit 42 est basée sur les données des sites de fuite de ransomware, parfois appelés sites de fuite dédiés et abrégés en DLS. Les sites de fuite de rançongiciels sont apparus pour la première fois en 2019, lorsque le ransomware Maze a commencé à utiliser une double tactique d’extorsion. En volant les fichiers d’une victime avant de les chiffrer, Maze a été le premier groupe de ransomware connu à établir un site de fuite pour contraindre une victime et libérer des données volées.

Ces acteurs de la menace font pression sur les victimes pour qu’elles paient - non seulement pour déchiffrer leurs fichiers, mais aussi pour empêcher les attaquants d’exposer publiquement leurs données sensibles. Depuis 2019, les groupes de rançongiciels ont de plus en plus adopté des sites de fuite dans le cadre de leurs opérations. L’équipe Unit 42 surveille les données de ces sites, souvent accessibles via le dark web et les examine pour identifier les tendances. Étant donné que les sites de fuite sont maintenant courants parmi la plupart des groupes de ransomware, les chercheurs utilisent souvent ces données pour déterminer les niveaux globaux d’activité des ransomwares et déterminer la date à laquelle un groupe de ransomware spécifique a été actif pour la première fois.

Cependant, les défenseurs doivent utiliser les données de site de fuite avec prudence car elles pourraient ne pas toujours refléter l’actualité. Un groupe de rançongiciels pourrait commencer sans site de fuite au fur et à mesure qu’il construit son infrastructure et étend ses opérations. De plus, si une victime offre un paiement immédiat, l’incident de ransomware peut ne pas apparaître sur le site de fuite d’un groupe. Par conséquent, les sites de fuite ne fournissent pas toujours une image claire ou précise des activités d’un groupe de rançongiciels. La véritable portée de l’impact des ransomwares pourrait être différente de ce que ces sites suggèrent.

Malgré ces inconvénients, les données extraites des sites de fuite de ransomware fournissent des informations précieuses sur l’état des opérations de ransomware en 2023.

Principales conclusions
En 2023, l’Unit 42 a observé 3 998 messages provenant de sites de fuite de ransomware, contre 2 679 messages en 2022. Cela représente une augmentation d’environ 49 % pour l’année, comme illustré ci-dessous à la figure 1.

L’augmentation de l’activité peut probablement être attribuée à des exploits zero-day ciblant des vulnérabilités critiques telles que CVE-2023-0669 pour GoAnywhere MFT ou CVE-2023-34362, CVE-2023-35036 et CVE-2023-35708 pour MOVEit Transfer SQL Injection.

CL0P a le mérite d’exploiter la vulnérabilité de transfert MOVEit. En juin 2023, La Cybersecurity and Infrastructure Agency (CISA) a estimé que TA505, un groupe connu pour tirer parti des rançongiciels CL0P, a compromis plus de 3 000 organisations basées aux États-Unis et environ 8000 victimes dans le monde. L’ampleur de ces attaques a forcé les organisations vulnérables à raccourcir leur temps de réponse afin de pouvoir contrer efficacement la menace. Cependant, le volume élevé de données provenant de sites Web compromis a également forcé les groupes de ransomware à s’adapter.

Par exemple, le groupe de ransomware CL0P a mis à jour ses tactiques d’extorsion en 2023. Au milieu de l’année, CL0P tirait parti des torrents pour distribuer les données volées - une méthode plus rapide et plus efficace que l’hébergement de données volées sur le site Web Tor du groupe. L’Unit 42 a précédemment signalé cette activité en septembre 2023, dans une analyse qui donne un aperçu remarquable des récentes opérations de ransomware CL0P. CL0P n’était pas le seul groupe à exploiter des vulnérabilités critiques. Les groupes de ransomwares comme LockBit, Medusa, ALPHV (BlackCat) et d’autres ont tiré parti d’un exploit zero-day pour la vulnérabilité Citrix Bleed CVE-2023-4966, qui a conduit à de nombreux compromissions de la part de ces groupes en novembre 2023. Lorsque l’Unit 42 analyse le nombre de compromissions signalées par les sites de fuite de ransomware en 2023 sur une base mensuelle, elle constate une augmentation des compromissions au cours de certains mois, comme le montre ci-dessous à la figure 2. Ces augmentations s’alignent vaguement sur les dates à laquelle les groupes de ransomware ont commencé à exploiter des vulnérabilités spécifiques.

Tous les acteurs de la menace de ransomware ne sont pas capables de tirer parti des vulnérabilités zero-day. Certains groupes de ransomware sont dirigés par des acteurs de la menace inexpérimentés qui tireront parti de tout ce qui est à leur disposition.

Par exemple, un groupe de ransomware inconnu a ciblé les environnements VMware ESXi lors d’une campagne surnommée ESXiArgs. Cette campagne a exploité le CVE-2021-21974, une vulnérabilité vieille de deux ans au moment des attaques.

Selon la CISA, ESXiArgs a eu un impact sur plus de 3 800 serveurs. Ces types de campagnes ne sont généralement pas affichés sur des sites de fuite de ransomware parce que les acteurs de la menace sont intéressés par un paiement rapide au lieu d’extorquer les victimes pour un impact maximal ou de vendre leurs données. Même si ces groupes utilisent des exploits plus anciens, leurs campagnes peuvent avoir autant d’impact que les efforts d’acteurs de menaces de ransomware plus expérimentés. Mais expérimentés ou non, les acteurs des menaces de ransomware sont venus et sont partis dans le paysage des menaces en évolution. Examinons les nouveaux acteurs de la menace ransomware vus en 2023.

Nouveaux arrivants en 2023
En raison des paiements élevés des victimes ces dernières années, les cybercriminels sont souvent attirés par l’idée du ransomware comme source de revenus. Comme ces criminels forment de nouveaux groupes de ransomware, toutes les tentatives ne sont pas réussies ou durables.

Un nouveau groupe de rançongiciels doit tenir compte de plusieurs défis qui ne s’appliquent pas à d’autres logiciels malveillants, tels que la communication avec les victimes et l’augmentation de la sécurité opérationnelle. La nature publique des opérations de ransomware augmente leur risque de détection par les organismes d’application de la loi, les fournisseurs de sécurité et d’autres défenseurs.

Les groupes de rançongiciels doivent également tenir compte de leur concurrence. La participation aux bénéfices, les capacités logicielles et le support des affiliés peuvent avoir un impact significatif sur la position d’un nouveau groupe sur le marché criminel hautement concurrentiel des rançongiciels.

Ces 25 nouveaux sites de fuite ont contribué à environ 25 % du total des messages de ransomware à partir de 2023. De ces nouveaux groupes, Akira a mené avec le plus grand nombre de messages. Observé pour la première fois en mars 2023, Akira a été décrit comme un groupe de ransomware à croissance rapide, et les chercheurs ont lié ce groupe à Conti par le biais de transactions de crypto-monnaies associées à l’équipe de direction de Conti. La deuxième place dans le nombre de postes de sites de fuite en 2023 est le ransomware 8Base. 8Base est l’un des groupes de rançongiciels actifs depuis 2022, mais ce groupe a commencé à divulguer publiquement ses victimes en mai 2023.

Quels groupes de ransomwares ont chuté en 2023 ?
2023 a vu la chute de plusieurs groupes de ransomware de premier plan.
Hive : L’un des groupes les plus prolifiques en 2022, le ransomware Hive a été fermé dans le cadre d’une opération dirigée par les forces de l’ordre signalée en janvier 2023. Cette opération a capturé les clés de déchiffrement du groupe et les a offertes aux victimes du monde entier, ce qui a permis aux victimes d’économiser plus de 130 millions de dollars en paiements de rançon potentiels. Le FBI a saisi le site principal du ransomware Hive comme indiqué ci-dessous à la figure 4. Les affiliés de la ruche se sont dispersés, et ce groupe a disparu pour le reste de 2023.
Casier Ragnar : Ragnar Locker a également ressenti la colère des organismes internationaux d’application de la loi. Ce groupe a commencé en 2019 et a été très actif depuis lors. En octobre 2023, Europol a signalé un effort coordonné d’application de la loi internationale qui a saisi l’infrastructure de Ragnar Locker, et l’auteur principal a ensuite été présenté au tribunal judiciaire de Paris. La figure 5 montre une capture d’écran du site Tor de Rangar Locker en 2023 peu de temps après sa reprise par les forces de l’ordre.
ALPHV (BlackCat) : Presque un Goner : Également connu sous le nom de BlackCat, le groupe ALPHV a été durement touché en 2023. En décembre, le FBI a perturbé les opérations d’ALPHV (BlackCat) et a publié un outil de déchiffrement qui permettait aux victimes compromises de récupérer leurs données. C’était un énorme revers pour ALPHV, et il a offert des incitations pour empêcher ses affiliés criminels d’être effrayés par le FBI. Pendant ce temps, d’autres groupes de ransomware comme LockBit ont commencé à braconner les affiliés d’ALPHV. Le groupe ALPHV a depuis répondu à la perturbation du FBI et a combattu les mesures d’application de la loi. Mais si ce groupe ne peut pas réparer sa réputation, il pourrait fermer et changer de marque en un nouveau gang de ransomware.
Rebrandings possibles : 2023 a également vu la disparition soudaine du ransomware Royal et de Vice Society. Tous deux ont été actifs en 2022 jusqu’au premier semestre de 2023 en effectuant des stratégies d’extorsion multiple, et les deux ont attiré l’attention des forces de l’ordre. Le ransomware royal a été créé par d’anciens membres de Conti, et il a été impliqué dans de multiples attaques de haut niveau contre une infrastructure critique. Le site de fuite royale a cessé ses activités en juillet 2023. Diverses sources ont signalé des similitudes de code entre Royal et le ransomware BlackSuit nouvellement établi, indiquant un éventuel changement de marque de Royal à BlackSuit.

Vice Society a attiré l’attention du public et des forces de l’ordre en ciblant les organisations des soins de santé et de l’éducation. Ce groupe a cessé d’afficher sur son site de fuite en juin 2023, mais la Vice Society n’a peut-être pas complètement disparu. Plusieurs chercheurs ont lié la Vice Society au ransomware Rhysida nouvellement créé, suggérant un changement de marque.

L’un des nouveaux groupes de rançongiciels en 2023 semble avoir été rebaptisé au cours de la même année. Les données du site de fuite indiquent que le ransomware Cyclops était actif en juillet 2023, mais une mise à jour de la version 2.0 de Cyclops a été rebaptisée ransomware Knight. Cyclops n’avait plus de poteaux de site de fuite après juillet 2023, tandis que les poteaux de site de fuite de Knight ont commencé plus tard cette année-là en septembre.

Statistiques sur le site de fuite pour 2023
L’analyse des données du site de fuite fournit un aperçu clé de la menace de ransomware. L’Unit 42 a examiné 3 998 messages de site de fuite de 2023, et ces données suggèrent les groupes les plus actifs, les industries les plus touchées et les régions du monde qui ont été les plus durement touchées par les rançongiciels.

Distribution de groupe
Sur les 3 998 postes de fuite de 2023, le ransomware LockBit reste le plus actif, avec 928 organisations représentant 23 % du total. Opérant depuis 2019 avec un minimum de pauses, LockBit est le groupe de ransomware le plus prolifique depuis deux années consécutives maintenant. Avec la chute de groupes comme Conti, Hive et Ragnar Locker, LockBit est devenu le ransomware de choix pour de nombreux acteurs de la menace qui sont par la suite devenus ses affiliés.
LockBit a lancé plusieurs variantes qui affectent à la fois les systèmes d’exploitation Linux et Windows. En réutilisant des outils logiciels disponibles gratuitement et en tirant parti du cryptage rapide de LockBit, les affiliés peuvent adapter les opérations de ransomware pour répondre à leurs besoins individuels.
La deuxième place est pour le ransomware ALPV (BlackCat), avec environ 9,7 % du total des poteaux de fuite en 2023. La troisième place était le ransomware CL0P, avec environ 9,1 % des messages de 2023.
CL0P est connu pour utiliser des exploits zero-day de vulnérabilités critiques comme celles de MOVEit de Progress Software et GoAnywhere MFT de Fortra. Cependant, le nombre d’organisations signalées par CL0P sur le site de fuite du groupe pourrait ne pas refléter avec précision l’impact complet de ces vulnérabilités.
Par exemple, les données du site de fuite de CL0P indiquent qu’il a compromis 364 organisations au cours de l’année, mais un rapport analysant l’exploitation de la vulnérabilité MOVEit par CL0P en 2023 indique que 2 730 organisations ont été touchées. C’est un excellent exemple des disparités que nous trouvons souvent entre les données de fuite du site et l’impact dans le monde réel.

Industries concernées

Certains groupes de rançongiciels peuvent se concentrer sur des pays ou des industries spécifiques, mais la plupart sont opportunistes et principalement soucieux de réaliser des bénéfices. En conséquence, de nombreux groupes de rançongiciels compromettent les organisations de plusieurs industries. Les publications sur les sites de fuite en 2023 révèlent que l’industrie manufacturière a été la plus touchée par les rançongiciels, avec 14 % du total des publications.

Pourquoi la fabrication a-t-elle été la plus touchée par les rançongiciels ? Les fabricants ont généralement une visibilité limitée sur leurs systèmes de technologie opérationnelle (OT), Ils manquent souvent d’une surveillance adéquate du réseau et ne parviennent parfois pas à mettre en œuvre les meilleures pratiques de sécurité.

Impact géographique
Les données sur les sites de fuites révèlent que la plupart des victimes en 2023 étaient basées aux États-Unis, avec 47,6 % du total des postes. Le Royaume-Uni était deuxième avec 6,5 %, puis le Canada avec 4,6 % et l’Allemagne avec 4 %. La France est cinquième avec 3,4% Voir la figure 10 pour un graphique à secteurs montrant les pays les plus touchés.

Les organisations aux États-Unis sont la première cible des rançongiciels depuis l’apparition de sites de fuites pour la première fois en 2019. Les États-Unis présentent une cible très attrayante, en particulier lors de l’examen du Forbes Global 2000, qui classe les plus grandes entreprises du monde en fonction des ventes, des bénéfices, des actifs et de la valeur marchande. En 2023, les États-Unis représentaient 610 de ces organisations, soit près de 31 % de Forbes Global 2000, ce qui indique une forte concentration de cibles riches. Alors que les groupes de rançongiciels ont tendance à cibler des régions riches comme les États-Unis, cette menace reste un problème mondial répandu. Les données sur les sites de fuite de 2023 révèlent des victimes d’au moins 120 pays différents à travers le monde.
Conclusion

2023 a présenté un paysage florissant et en évolution des ransomwares, comme en témoignent les messages des sites de fuite de ransomware. Les publications de ces sites indiquent une augmentation notable de l’activité, et ces données reflètent également de nouveaux groupes de rançongiciels qui sont apparus et des groupes existants qui ont diminué. Bien que le paysage reste fluide, l’efficacité croissante des forces de l’ordre dans la lutte contre les rançongiciels signale un changement bienvenu.

Des groupes de rançongiciels tels que CL0P ont utilisé des exploits zero-day contre des vulnérabilités critiques nouvellement découvertes, qui représentent un défi complexe pour les victimes potentielles. Bien que les données du site de fuite de rançongiciels puissent fournir des informations précieuses sur le paysage des menaces, ces données pourraient ne pas refléter avec précision l’impact total d’une vulnérabilité. Les organisations doivent non seulement être vigilantes face aux vulnérabilités connues, mais aussi élaborer des stratégies pour réagir rapidement et atténuer l’impact des exploits zero-day.