L'écosystème des ransomwares a fortement évolué en 2022, avec des cyberattaquants passés de grands groupes dominant le paysage à des activités à la demande (RaaS) plus petites et flexibles attirant moins l'attention des forces de l'ordre. Cette démocratisation des rançongiciels est une mauvaise nouvelle pour les organisations, car elle a également entraîné une diversification des tactiques, techniques et procédures (TTP), davantage d'indicateurs de compromission (IOC) à suivre, et potentiellement plus d'obstacles à franchir en cas de négociation ou de paiement des rançons. « Nous pouvons probablement dater l'accélération des changements au moins à mi-2021 avec l'attaque du rançongiciel Darkside sur Colonial Pipeline précédant le retrait de REvil et l'intervention des force de l'ordre ayant conduit à la dispersion de plusieurs partenariats entre acteurs de rançongiciels », ont déclaré des chercheurs de Talos de Cisco dans leur rapport annuel. « Le secteur semble plus dynamique que jamais avec différents groupes s'adaptant aux efforts accrus des forces de l'ordre et du privé, des luttes intestines et des menaces internes, et à un marché concurrentiel où les développeurs et les opérateurs malveillants changent continuellement d'affiliation à la recherche de l'activité de rançonnage la plus lucrative ».
Depuis 2019, le paysage des ransomwares est dominé par de grandes campagnes professionnalisées qui font constamment la une des journaux et recherchent même l'attention des médias pour gagner en légitimité auprès des victimes potentielles. Les groupes disposent même de porte-paroles proposant des interviews à des journalistes ou publier sur Twitter et leurs sites web des communiqués sur leurs fuites de données en réponse à de grandes violations de systèmes. L'attaque DarkSide contre Colonial Pipeline qui a entraîné une interruption majeure de l'approvisionnement en carburant le long de la côte est des États-Unis en 2021 a mis en évidence le risque que les attaques de ransomware peuvent avoir contre les infrastructures critiques et conduit à des efforts accrus pour combattre cette menace aux plus hauts niveaux du gouvernement.
La géopolitique redistribue les cartes
Cette attention accrue de la part des forces de l'ordre a poussé les propriétaires de forums clandestins sur la cybercriminalité à reconsidérer leur relation avec les groupes de rançongiciels, certains forums interdisant la publicité de telles menaces. DarkSide a cessé ses activités peu de temps après et a été suivi plus tard dans l'année par REvil, également connu sous le nom de Sodinokibi, dont les créateurs ont été inculpés et un a même été arrêté. REvil était l'un des groupes de rançongiciels les plus performants depuis 2019. L'invasion de l'Ukraine par la Russie en février 2022 a rapidement mis à rude épreuve les relations entre de nombreux groupes de rançongiciels qui avaient des membres et des affiliés en Russie et en Ukraine, ou dans d'autres pays de l'ex-URSS.
Certains groupes, comme Conti, se sont précipités pour prendre parti dans la guerre, menaçant d'attaquer les infrastructures occidentales pour soutenir la Russie. Cela s'écartait de l'approche apolitique habituelle de type commercial dans laquelle les gangs de rançongiciels dirigeaient leurs opérations et attiraient les critiques d'autres groupes concurrents. Cela a également été suivi d'une fuite de communications internes qui a révélé de nombreux secrets opérationnels de Conti et provoqué un malaise chez ses affiliés. À la suite d'une attaque majeure contre le Costa Rica, le département d'État américain a offert une récompense de 10 M$ pour des informations liées à l'identité ou à l'emplacement des dirigeants de Conti, ce qui a probablement contribué à la décision du groupe de cesser ses activités en mai. La disparition de Conti a entraîné une baisse de l'activité des ransomwares pendant quelques mois, mais cela n'a pas duré longtemps car le vide a rapidement été comblé par d'autres groupes, dont certains nouvellement créés et soupçonnés d'être la création d'anciens membres de Conti, REvil et d'autres groupes qui ont cessé leurs activités au cours des deux dernières années.
Les principaux gangs de rançongiciels actifs à surveiller en 2023
LockBit prend les devants
LockBit est le principal groupe qui a intensifié ses opérations après la fermeture de Conti en réorganisant son programme d'affiliation et en lançant une nouvelle version améliorée de son programme de ransomware. Même s'il est opérationnel depuis 2019, ce n'est qu'avec LockBit 3.0 que ce dernier a réussi à prendre la tête du paysage des menaces de ransomwares. Selon les rapports de plusieurs sociétés de sécurité, LockBit 3.0 a été responsable du plus grand nombre d'incidents de ransomware au cours du troisième trimestre de 2022 et était le cybergang affichant le plus grand nombre de victimes répertoriées sur son site web de fuite de données pendant toute l'année. Et ce n'est pas fini car tout le monde peut désormais créer sa version personnalisée du programme ransomware : selon Cisco Talos, un nouveau groupe de rançongiciels baptisé Bl00dy Gang a déjà commencé à utiliser le builder LockBit 3.0 divulgué lors d'attaques récentes.
Hive extorque plus de 100 M$
Le groupe avec le plus grand nombre de victimes revendiquées en 2022 après LockBit selon Cisco Talos est Hive. Il s'agissait de la principale famille de rançongiciels observée lors des engagements de réponse aux incidents de Talos cette année et de la troisième sur la liste des cas de réponse aux incidents pour Palo Alto Networks après Conti et LockBit. Selon un avis conjoint du FBI, de la US Cybersecurity and Infrastructure Security Agency (CISA) et du US Department of Health and Human Services (HHS), ce groupe a réussi à extorquer plus de 100 M$ à plus de 1 300 entreprises dans le monde entre juin 2021 et novembre 2022. « Les acteurs de Hive sont connus pour réinfecter - avec le ransomware Hive ou une autre variante - les réseaux d'organisations victimes qui ont restauré leur réseau sans payer de rançon », ont déclaré les agences.
Black Basta, un spin-off de Continental
Le troisième gang de rançongiciels le plus prolifique cette année sur la base des observations de Talos a été Black Basta, un groupe soupçonné d'être un spin-off de Conti dotée de certaines similitudes dans leurs techniques. Le groupe a commencé à fonctionner en avril, peu de temps avant la fermeture de Conti, et a rapidement fait évoluer son ensemble d'outils. Le groupe s'appuie sur le cheval de Troie Qbot pour la distribution et exploite la vulnérabilité PrintNightmare. À partir de juin, le groupe a également introduit un chiffreur de fichiers pour les systèmes Linux, principalement destiné aux machines virtuelles VMware ESXi. Cette expansion multiplateforme a également été observée avec d'autres groupes tels que LockBit et Hive, qui ont tous deux des chiffreurs Linux, ou par des ransomwares tels que ALPHV (BlackCat) qui est écrit en Rust, ce qui lui permet de fonctionner sur plusieurs systèmes d'exploitation. Golang, un autre langage de programmation et d'exécution multiplateforme, a également été adopté par certains gangs de rançongiciels plus petits tels que HelloKitty (FiveHands).
Le groupe Royal ransomware prend de l'ampleur
Un autre groupe soupçonné d'avoir des liens avec Conti et apparu plus tôt cette année s'appelle Royal. Alors qu'il utilisait initialement des programmes de rançongiciels d'autres groupes, dont BlackCat et Zeon, le cybergang a développé son propre chiffreur de fichiers qui semble inspiré ou basé sur Conti et a rapidement pris de l'ampleur, prenant la tête de LockBit pour le nombre de victimes en novembre. À ce rythme, Royal devrait être l'une des principales menaces de ransomware en 2023.
Vice Society cible le secteur de l'éducation
Royal n'est pas le seul exemple d'un groupe de rançongiciels à succès qui a réussi en réutilisant des programmes de rançongiciels développés par d'autres. Selon Cisco Talos, l'un de ces groupes appelé Vice Society est le quatrième plus grand groupe de rançongiciels en termes de nombre de victimes répertoriées sur son site de fuite de données. Ce groupe cible principalement les organisations du secteur de l'éducation et s'appuie sur des fourches de familles de ransomwares préexistantes telles que HelloKitty et Zeppelin.
Un défi encore plus grand pour les acteurs du renseignement
« La fin des grands monopoles des rançongiciels a présenté des défis aux analystes du renseignement sur les menaces », ont déclaré les chercheurs de Cisco Talos. « Au moins huit groupes représentent 75 % des publications sur les sites de fuite de données que Talos surveille activement. L'émergence de nouveaux groupes rend l'attribution difficile car les adversaires travaillent sur plusieurs groupes RaaS ». Certains groupes tels que LockBit ont commencé à introduire des méthodes d'extorsion supplémentaires telles que les attaques DDoS pour forcer leurs victimes à payer des rançons. Cette tendance devrait se poursuivre en 2023, les groupes de ransomware devant proposer de nouvelles tactiques d'extorsion pour monétiser les attaques contre les victimes là où elles sont détectées avant de déployer la charge utile finale du ransomware. La moitié des engagements de réponse aux incidents liés aux ransomwares de Cisco Talos se situent au stade pré-ransomware, ce qui montre que les entreprises s'améliorent dans la détection des TTP associés aux activités pré-ransomware.