La 24e édition du Panorama de la cybercriminalité du Clusif dresse le bilan d’une année 2023 agitée. Attaques de rançongiciels, raids sur les infrastructures cloud, campagnes de désinformation à répétition : ces menaces devraient encore accaparer les équipes de sécurité en 2024.
LockBit, Cl0p, HIVE, ALPHV (BlackCat), Lazarus, tous ces noms de groupes d’attaquants ont marqué l’année 2023 de leurs actions malveillantes. Comme le soulignait Benoît Fuzeau, président du Clusif lors de la conférence annuelle Panocrim, l’année 2023 fut particulièrement agitée sur le front cyber, et 2024 s’annonce du même acabit. En la matière, le CESIN ne disait pas autre chose dans son baromètre cybersécurité de l’année écoulée.
Avec plus de 1 700 attaques d’ampleur réussies depuis sa création en 2019, LockBit s’impose comme le numéro 1 mondial du rançongiciel. On se souvient des raids contre l’Hôpital de Corbeil- Essonnes, contre La Poste Mobile ou Thales à deux reprises. Après lui, BlackCat a été l’un des groupes de rançongiciel les plus prolifiques en 2023. On lui attribue 300 M$ de rançons collectées auprès d’un millier de victimes. En 2022, il avait signé des attaques sur Akka Technologies et Conforama.
De façon ironique, ces deux groupes ont été plus ou moins récemment démantelés. Le site de BlackCat a été fermé en décembre 2023 avant de réouvrir ailleurs en début d’année mais avec des activités perturbées. Quant à LockBit, ses infrastructures réparties ont été saisies et ses activités mis à l’arrêt par l’opération internationale Cronos mi-février.
Preuve que les « good guys » peuvent aussi agir et connaître quelques victoires. Même si le répit est de courte durée.
Deux victoires contre des activités malveillantes de « Ransomware as a Service » qui ne doivent pas faire oublier les autres menaces.
Outre cette activité d’extorsion, David Grout, CTO de Google Cloud Security, pointe également le business florissant des « infostealers » ou voleurs de données, au sein d’un écosystème très évolué : « C’est un marché ultra dynamique qui s’appuie sur une formule de type Malware as a Service. Des places de marché sont apparues pour commercialiser les outils et les contenus volés. »