Ces derniers mois, un grand nombre de groupes de ransomware as a service (RaaS) ont disparu ou réduit leur activité. Leurs revenus sont, par ailleurs, en baisse en raison de la chute des cryptomonnaies, une plus grande maturité des entreprises et le renforcement du cadre réglementaire. Un contexte défavorable qui remet en cause la pérennité de cette mafia du XXIème siècle.

Les organisations cybercriminelles sont des entreprises comme les autres. Elles naissent, se développent et parfois meurent. Leur taux de mortalité est même particulièrement élevé si on en juge les déconvenues qu’ont récemment traversé les principaux gangs de ransomwares. En septembre 2021, le gang Babuk se sabordait après que les clés de déchiffrement de son rançongiciel ont été publiés sur le darkweb.

En mars 2022, le groupe Conti disparaissait après avoir pris position en faveur de la Russie dans la guerre contre l’Ukraine. En janvier 2023, le collectif Hive mettait fin à ses activités après la saisie de leur plateforme par le FBI et Europol. Le même Europol a réussi un beau coup de filet en arrêtant deux membres de DoppelPaymer, en mars dernier.

D’autres gangs célèbres restent en vie mais ont subi quelques revers. En septembre, le builder de LockBit – soit le kit de création de son logiciel malveillant – a fuité sur les réseaux sociaux après que le leader du groupe a refusé de verser son salaire à un développeur. L’activité de Revil a, elle, drastiquement chuté après l’attaque en mai 2021 de Colonial Pipeline, le principal opérateur d’oléoducs américain.

Ces événements posent la question de la pérennité des groupes de ransomware. Ces gangs mafieux du XXIème siècle semblent suivre le même schéma que leurs équivalents du monde physique. Ils s’enrichissent rapidement, mènent grande vie puis finissent par disparaître après le coup de trop ou le faux pas fatal.

L’homme, le maillon faible

Même s’ils se retranchent derrière le modèle industriel du ransomware as a service (RaaS), proche du celui du SaaS légal, avec la revente du kit de création à des affiliés et une assistance commerciale 24/7, ces groupes restent vulnérables. Ironie de l’histoire, l’homme reste la principale faille de vulnérabilité.

« Leur modèle de masse repose sur des techniques optimisées et une répartition des tâches entre acteurs. Cette chaîne ne peut pas être automatisée à 100%, il y a toujours des humains derrière », observe Livia Tibirna, analyste cyber threat intelligence chez Sekoia.io.

Même si un gang liste les organisations à cibler et celles à épargner, leurs affiliés commettent des bévues comme s’en prendre à des établissements de santé. LockBit aurait ainsi présenté ses excuses et envoyé une clé de déchiffrement gratuite à un hôpital pour enfants de Toronto, attaqué par erreur. Par vantardise, les groupes de RaaS signent également leurs méfaits ou laissent des indices sur les forums de discussion.

Un écosystème essentiellement russophone

En dépit des rivalités qui apparaissent parfois au grand jour, comme entre LockBit et REvil, un code de l’honneur évite les luttes fratricides. « L’écosystème reste essentiellement russophone, avec des règles non écrites de camaraderie. La plupart des groupes ne s’attaquent pas entre pays ex soviétiques. Cela n’a pas changé avec la guerre en Ukraine », note Livia Tibirna.

Des collaborations inédites voient même le jour. Hive, LockBit et BlackCat ont ainsi orchestré une attaque ciblant à trois reprises le même réseau comme le relevait l’éditeur Sophos. Le contexte géopolitique a néanmoins pu déstabiliser les équipes en place. « Pour échapper à la mobilisation militaire, des cybercriminels russes se sont expatriés en Turquie ou en Iran, s’exposant au risque de se faire arrêter par les forces de l’ordre internationales », poursuit l’experte.

Pour Karim Abillama, directeur avant-vente international business chez NetWitness, la détection et le suivi de ces gangs peut toutefois prendre des années : « Ces groupes sont très structurés et font preuve de sophistication, notamment dans le mode de paiement, tout en conservant un mode d’entrée banal basé avant tout sur le spearphishing. »

Les ransomwares, la partie émergée de l’iceberg

En termes de ciblage, la menace reste avant tout opportuniste. Il s’agit de faire le tour des portes d’entrée avant de s’introduire dans le système d’information. « Les gangs ont le choix soit d‘attaquer des proies faciles soit d’aller à l’assaut de plus gros poissons pour augmenter leurs profits. Les deux cas de figure existent », complète Karim Abillama.

La demande de rançon se double, par ailleurs, systématiquement de la menace de divulguer les données exfiltrées. Karim Abillama note même une tendance à la réextorsion. Les cyber-gangsters reviennent sur les lieux de leur crime en rançonnant une nouvelle fois la victime. Plus d’un tiers des entreprises attaquées par des ransomwares en 2022 l’avaient déjà été par le passé, avance ainsi un rapport de Barracuda Networks.

Livia Tibirna note aussi une plus grande souplesse dans les relations entre les groupes de RaaS et leurs affiliés : « Avant, il n’était pas bien vu que des affiliés s’approvisionnent auprès de groupes différents. Aujourd’hui, cela passe mieux. Ils peuvent recourir à deux ou trois logiciels malveillants différents. »

L’experte rappelle aussi que les rançongiciels, menace particulièrement visible et médiatisée, ne constituent que la partie émergée de l’iceberg : « Derrière il y a toute industrie qui s’est constituée dans la revente de données ou le blanchiment de Bitcoins. »

Des revenus en baisse

En dépit de cette volonté de maximiser les profits, les experts de la table ronde dédiée à ce sujet au FIC 2023 ont observé une baisse des revenus générés par cette industrie du ransomware. Plusieurs facteurs contribuent à cet effritement du marché. Livia Tibirna évoque la plus grande maturité des entreprises qui ont (enfin) généralisé les systèmes de sauvegardes et la chute du cours du Bitcoin et des autres cryptomonnaies.

Le cadre légal a aussi évolué. Aux États-Unis, l’attaque contre Colonial Pipeline, en mai 2021, a servi d’électrochoc. Elle a montré qu’au-delà leur activité lucrative, des gangs pouvaient perturber le fonctionnement d’États ennemis. Peu de temps après, le patron du FBI, Chris Wray, exhortait, selon Reuters, les entreprises et les institutions publiques à ne pas payer les rançons demandées pour ne pas alimenter le crime.

Plus récemment, le 1er mars 2023, l’administration de Joe Biden exposait sa stratégie nationale en matière de cybersécurité. Avec une doctrine claire : tout attaque par ransomware qui ciblerait une infrastructure critique du pays serait considérée comme une menace pour la sécurité nationale. Seize secteurs clés ont été identifiés, dont la santé et l’énergie.

Il s’agit pour Cody Barrow, vice president for intelligence and director of threat intelligence d’EclecticIQ « d’un sérieux avertissement pour les auteurs de cyberattaques et leurs complices ». Le ransomware devenant un enjeu de sécurité nationale, plus de ressources gouvernementales seront mobilisés

« La coopération internationale est aussi appelée à s’intensifier, les Etats-Unis collaborant davantage avec les pays alliés », estime-t-il. Les groupes de ransomware auront eu au moins le mérite de favoriser l’échange d’informations au sein du monde occidental.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.