Un rapport révèle une baisse des paiements liés aux ransomwares

Un rapport publié par Chainalysis, fournisseur d’une plateforme d’analyse des transactions liées à la blockchain utilisée par diverses cryptomonnaies, révèle que malgré la recrudescence des attaques de rançongiciels en 2023, le nombre d’attaques ayant entraîné des paiements a diminué de 46 % par rapport à l’année précédente.

Si moins de paiements ont été effectués en 2023, c’est parce que les entreprises étaient moins enclines à céder au chantage, que l’amélioration de la protection des données a renforcé la cyber-résilience et que certaines des principales plateformes utilisées pour lancer les attaques ont été mises hors service.

Par exemple, le ministère américain de la Justice (DOJ) a démantelé l’année dernière un botnet Qakbot que des syndicats de cybercriminels tels que Conti, Black Basta et Revil utilisaient pour lancer des attaques de ransomware. Cet effort a également permis de récupérer des millions de dollars en cryptomonnaies extorqués à diverses organisations.

Fin 2023, le DOJ a également annoncé la perturbation de BlackCat, un syndicat de cybercriminels lié à plus de 30 % de tous les paiements de ransomwares. Le DOJ a pu transmettre 300 clés de déchiffrement aux victimes, ce qui a permis de récupérer environ 68 millions de dollars de paiements.

BlackCat a toutefois réussi à se reconstituer. En mars, il était impliqué dans le paiement d’une rançon de 22 millions de dollars par l’unité Change Healthcare du groupe UnitedHealth. Après le paiement présumé, BlackCat a affiché un avis de saisie des forces de l’ordre sur son site du darknet indiquant qu’il avait été mis fin à ses activités par la force. Il s’agissait en réalité d’une ruse visant à permettre à certains membres d’empocher le paiement de plusieurs millions de dollars sans donner leur part aux associés.

Entre-temps, la National Crime Agency (NCA), en collaboration avec des agences multinationales chargées de l’application de la loi, a pris le contrôle des sites de LockBit sur le dark Web et de son infrastructure de piratage informatique. L’opération a également abouti à la confiscation de son code source et de ses comptes de cryptomonnaies. En outre, la NCA a également récupéré plus de 1 000 clés de déchiffrement pour aider les victimes à récupérer les données chiffrées.

Selon le FBI, LockBit était impliqué dans plus de 2 000 attaques et a reçu au moins 120 millions de dollars de rançons entre janvier 2020 et mai 2023, soit environ 15 % de tous les paiements de ransomware. Avec l’aide de Chainalysis, la NCA a identifié et analysé des centaines de portefeuilles actifs et a identifié 2 200 bitcoins, d’une valeur de près de 110 millions de dollars, provenant des recettes de ransomware non dépensées de LockBit qui n’ont toujours pas été blanchies.

Les auteurs de l’attaque LockBit ont toutefois également déclaré qu’ils prévoyaient de revenir. Les professionnels de la cybersécurité doivent donc rester sur leurs gardes. Les tactiques et techniques des ransomwares continueront sans aucun doute d’évoluer, notamment car les cybercriminels manient de plus en plus habilement l’intelligence artificielle (IA) pour créer des attaques par hameçonnage qui seront plus difficiles que jamais à détecter. La seule façon de contrecarrer ces attaques est de garantir un niveau de cyber-résilience élevé en permanence. Bien entendu, au cœur de toute stratégie de cyberrésilience se trouve un logiciel de sauvegarde et de restauration qui doit permettre aux entreprises de récupérer des copies parfaites de leurs données en quelques heures au maximum.

Les ransomwares seront toujours parmi nous, sous une forme ou une autre. Aujourd’hui, le défi est de faire en sorte que cette attaque ne soit pas aussi rentable qu’elle l’était auparavant.