Le service de surveillance de SEKOIA.IO « a identifié 1 350 attaques de ransomwares divulguées publiquement au S1 2022, contre 1 067 à la même période en 2021 », révèle son rapport consacré au « paysage des menaces Ransomware pour le premier semestre 2022 ».
Cette augmentation de 26,5 % n'est cependant pas uniforme sur toute la période : après un nombre croissant d'attaques jusqu'à fin avril, elles n'ont fait que baisser depuis.
Cette baisse pourrait en partie s'expliquer, selon le directeur de la cybersécurité de la NSA, par les sanctions contre la Russie suite à son invasion de l'Ukraine, qui « rendent plus difficile pour les cybercriminels l'organisation d'attaques et la réception des rançons ».
« Pas moins de 20 nouveaux groupes de ransomwares ont émergé entre janvier et juin 2022 », même si, « sur les 32 groupes de rançongiciels actifs identifiés » ayant revendiqué des attaques au cours du premier semestre 2022, « LockBit était le plus prolifique » : « Avec au moins 439 victimes signalées, il était responsable de 32,52 % des campagnes connues, tandis que le trio LockBit-Conti-ALPHV a enregistré plus de la moitié des victimes (54,67 %). »
« Au moins 88 pays différents ont été touchés dans le monde », même si 37 % des victimes divulguées sont situées aux États-Unis, suivis par l'Europe. SEKOIA note par ailleurs que « plusieurs attaques de rançongiciels contre des infrastructures critiques russes ont été observées début 2022 », alors que le pays était d'ordinaire plutôt épargné.
Signe qu'elles n'énament pas des gangs habituels, « certaines d'entre elles n'exigeaient pas de rançon, mais semblaient vouloir compromettre "simplement" les activités opérationnelles des victimes, comme l'attaque contre Miratorg (premier producteur et fournisseur de viande de Russie) ».
De plus en plus d'entreprises ayant compris qu'une sauvegarde des données permettait d'éviter d'avoir à payer une rançon, SEKOIA.IO « a récemment observé une augmentation des groupes menant des attaques de vol de données sans chiffrer les systèmes avec des ransomwares, demandant aux victimes de payer des rançons pour empêcher que leurs données ne soient vendues et/ou divulguées ».
Commentaires (10)
#1
Du coup, peut-on encore appeler ce genre d’attaque une attaque par ransomware ? C’est une attaque par déni de service, si l’idée est “simplement” de compromettre les activités opérationnelles…
#1.1
Si la compromission des activités opérationnelles consiste à menacer de divulguer ou de vendre les données comme écrit dans le paragraphe suivant, le terme rançon pourrait être encore utilisé peut-être… Même si je ne vois pas ce qui empêcherait le violeur de Uand même divulguer/revendre ces données après paiement…
#1.2
Je suis d’accord, mais il est bien précisé, dans l’extrait que j’ai cité, que certains d’entre eux n’exigeaient justement aucune rançon…
#1.3
My bad, effectivement, j’ai lu trop vite.
#2
“demandant aux victimes de payer des rançons pour empêcher que leurs données ne soient vendues et/ou divulguées”
Comme Google en entreprise avec Gsuite finalement
(oh ça va, c’est vendredi, j’ai le droit de troller un peu)
#2.1
Oui !
#2.2
En supposant que payer pour des produits SaaS protège contre l’analyse, la copie, voire l’exploitation des données transitant par l’infrastructure de l’éditeur.
Quand une solution de messagerie instantanée est utilisée sous licence sans transiter exclusivement par des machines hébergées dans le SI, mais en se connectant à des adresses IP appartenant à des bloc propriétés de l’éditeur, ça me fait froid dans le dos.
Mais je ne fais partie que d’une minorité. Pour l’écrasante majorité d’une masse ignare, tout va bien.
#2.3
Bah c’est du semi troll vu que la possibilité d’utiliser une clé de chiffrement des données à soit n’est que très récente chez Google Workspace.
Et dans les faits, le Cloud pratique la même chose : upload des données chez eux gratuit, récupération payante.
#3
Chez NextInpact nous militons pour une cybermalveillance plus respectueuse de la vie privée des gens !
#4
Et qué s’appelerio SPYWARE.