« Un ransomware déclenche un état d’urgence national. » Ainsi nous étions-nous fait, en mai dernier, l’écho de la cyberattaque d’ampleur que le Costa Rica subissait alors depuis plusieurs semaines.
Le Clusif est revenu sur l’épisode lors de la présentation de son Panorama de la cybercriminalité (Panocrim) 2023. Il a, plus globalement, fait un point sur la menace ransomware, à partir de l’analyse de 623 incidents publics survenus au premier trimestre 2022.
Conti et LockBit sont, et de loin, ceux qui ont causé le plus d’incidents. Concernant les outils exploités pour les déployer, le Clusif mentionne BazarLoader, TrickBot, GoziAT et systembc RAT.
Apparu sur le devant de la scène cybercriminelle en 2020, Conti a surpris par son organisation rappelant celle d’une entreprise. On estime que son équipe a compté entre 60 et 100 personnes. Dont une quinzaine dédiées à la rétroingénierie et une demi-douzaine à la recherche. Le groupe aurait collecté au moins 180 M$ en 2021. Il a fait l’achat de licences d’outils (l’exploit Cobalt Strike pour 60 k$, par exemple) comme d’abonnements sur des sites russes de recrutement. Son « simili-démantèlement » est intervenu en mai 2022, après l’attaque contre le Costa Rica.
Ukraine-Russie : wipers et SCADA au menu de Panocrim
Avant l’épisode Costa Rica, il y avait eu, fin février, l’ouverture du conflit russo-ukrainien. Dans les semaines qui suivirent, on découvrit, entre autres, de multiples malwares destructeurs (HermeticWiper le 23 février, IsaacWiper le 1er mars, CaddyWiper le 14 mars…). Lesquels allaient alimenter la cyberguerre, en particulier l’offensive contre KA-SAT.
Le 24 février, des dizaines de milliers de modems/routeurs reliés à ce réseau satellitaire cessèrent de fonctionner. Certains resteraient hors ligne pendant des semaines. Ils avaient été victimes d’AcidRain/CosmosWiper, un malware ELF MIPS.