Les attaques de rançongiciel se multiplient après une année 2022 tumultueuse
juin 2024 par Mandiant
Les hackers sont restés motivés pour mener des opérations de ransomware en raison de leur rentabilité, en particulier par rapport à d’autres types de cybercriminalité. Mandiant a observé une augmentation de l’activité des ransomwares en 2023 par rapport à 2022, notamment une augmentation de 75 % des messages sur les sites de fuites de données (DLS), et une augmentation de plus de 20 % des enquêtes menées par Mandiant impliquant des ransomwares entre 2022 et 2023. Ces observations sont cohérentes avec d’autres rapports, qui font état d’un record de plus d’un milliard de dollars US versés aux attaquants de ransomwares en 2023.
Cela montre que la légère baisse de l’activité d’extorsion observée en 2022 était une anomalie, potentiellement due à des facteurs tels que l’invasion de l’Ukraine et la fuite des chats CONTI. La résurgence actuelle des activités d’extorsion est probablement due à divers facteurs, notamment la réinstallation de l’écosystème cybercriminel après une année 2022 tumultueuse, l’arrivée de nouveaux acteurs, de nouveaux partenariats et de nouvelles offres de services de ransomware de la part d’acteurs précédemment associés à des groupes prolifiques qui ont été désorganisés.
Ce rapport donne un aperçu du paysage des ransomwares et des tactiques, techniques et procédures (TTP) courantes directement observées par Mandiant lors d’incidents de ransomwares en 2023. L’analyse des TTP s’appuie principalement sur les données issues des missions de réponse aux incidents de Mandiant et ne représente donc qu’un échantillon de l’activité d’intrusion des ransomwares à l’échelle mondiale. La majorité de ces incidents impliquent le déploiement d’un ransomware après une intrusion dans le réseau, et de nombreux incidents impliquent également une extorsion par vol de données. Les organisations touchées étaient basées en Afrique, en Asie-Pacifique, en Europe, en Amérique latine et aux Caraïbes, au Moyen-Orient et en Amérique du Nord, et appartenaient à presque tous les secteurs d’activité.
En résumé
En 2023, Mandiant a observé une augmentation de l’activité des ransomwares aussi appelé en France rançongiciel par rapport à 2022, sur la base d’une hausse significative des messages sur les sites de fuites de données et d’une augmentation modérée des enquêtes sur les ransomwares menées par Mandiant.
Mandiant a observé directement plus de 50 nouvelles familles et variantes de ransomwares en 2023, un tiers environ des nouvelles familles observées en 2023 étant des variantes de familles de ransomwares déjà identifiées.
Les acteurs engagés dans le déploiement de ransomwares après la compromission continuent de s’appuyer principalement sur des outils légitimes disponibles dans le commerce pour faciliter leurs opérations d’intrusion. Mandiant continue notamment à observer un déclin de l’utilisation de Cobalt Strike BEACON et une augmentation correspondante de l’utilisation d’outils légitimes d’accès à distance.
Dans près d’un tiers des incidents, le ransomware a été déployé dans les 48 heures suivant l’accès initial de l’attaquant. Soixante-seize pour cent (76 %) des déploiements de ransomware ont eu lieu en dehors des heures de travail, la majorité se produisant tôt le matin.
Les recommandations de Mandiant pour aider à répondre à la menace posée par les ransomwares sont présentées dans le livre blanc Ransomware Protection and Containment Strategies : Practical Guidance for Hardening and Protecting Infrastructure, Identities and Endpoints.