Dans un rapport actuel, Trend Micro analyse le paysage des ransomwares et donne un aperçu de l'impact de l'interruption des activités de LockBit sur celui-ci. LockBit n'a pas été complètement démantelé, mais son activité a été sévèrement supprimée et de nouveaux développements de codes malveillants ont été découverts et ainsi rendus inutilisables.
En collaboration avec la National Crime Agency (NCA) britannique, Trend Micro a pu fournir des analyses détaillées des activités du groupe de ransomwares et perturber définitivement l'ensemble des fonctionnalités du malware. Depuis 2022, LockBit et BlackCat font toujours partie des fournisseurs de Ransomware-as-a-Service (RaaS) avec le plus de découvertes. À l’échelle mondiale, une augmentation du nombre de groupes RaaS actifs peut être observée parallèlement au nombre croissant de victimes.
🔎 Les pages de fuite sous plusieurs adresses LockBit Tor ont été reprises par les autorités. Cependant, le groupe APT est revenu sous de nouvelles adresses (Image : Trend Micro).
Les recherches des experts en sécurité montrent que de nombreux auteurs de menaces de type ransomware-as-a-service se concentrent particulièrement sur les petites organisations, qui, selon eux, disposent de moins de ressources pour la sécurité informatique. Au second semestre 2023, les entreprises de moins de 200 employés représentaient la majorité des victimes de LockBit (61 %) et une part importante des victimes de BlackCat (50 %) dans le monde. Dans le cas du groupe de rançongiciels Clop, plus de la moitié des attaques au cours de la période d'étude (62 %) visaient ces PME.
T4/2023 : le nombre d’attaques continue d’augmenter
Le rapport révèle que Trend Micro a détecté et bloqué un total de près de 2023 millions de menaces de ransomware dans le monde au niveau des e-mails, des URL et des fichiers au cours du second semestre 7,5. Cela représente une augmentation de plus de 11 pour cent par rapport aux six premiers mois de l'année. Les acteurs du ransomware ont publié sur leurs sites de fuite les données d'un total d'environ 2.500 XNUMX entreprises qui auraient refusé de payer la rançon après une attaque réussie.
Cela correspond à une augmentation de plus de 26 % des victimes présumées de ransomwares dans le monde par rapport au premier semestre 2023. Le nombre de groupes RaaS actifs a également augmenté de plus de 15 % au cours du second semestre.
LockBit était la principale famille de ransomwares au monde, représentant 18 % du nombre total de victimes au troisième trimestre et 22 % au quatrième trimestre. Tout au long de l’année 2023, ils se sont concentrés sur l’Amérique du Nord. Au cours du second semestre 2023, 45 % de leurs attaques ont ciblé cette région, suivie de l'Europe (26 %) et de la région Asie-Pacifique (12 %).
Le groupe de ransomwares BlackCat a également ciblé l’Amérique du Nord avec 58 % de ses attaques au cours du second semestre 2023. Suivie à nouveau par l'Europe (17 %) et la région Asie-Pacifique (14 %). Les acteurs du Clop présentent des préférences géographiques similaires. Avec près de 70 pour cent, l’Amérique du Nord était au centre de l’attention au troisième trimestre 2023. Au quatrième trimestre, les incidents se sont concentrés exclusivement dans cette région. L'Allemagne se classe au premier rang des attaques de ransomwares en Europe, même si les chiffres ont légèrement diminué au dernier trimestre.
Opération Cronos contre LockBit
LockBit a été impliqué dans un quart de toutes les fuites de ransomwares en 2023 et a continué à faire évoluer son ransomware pour rester à la pointe de la technologie. En travaillant en étroite collaboration avec la National Crime Agency (NCA) du Royaume-Uni, Trend Micro a pu fournir des renseignements sur les menaces pour une analyse détaillée de LockBit-NG-Dev, la prochaine version du ransomware LockBit encore en développement. L’analyse a rendu l’ensemble de la gamme de produits LockBit impropre à des fins criminelles. Cette perturbation collective d’un des acteurs majeurs du ransomware baptisée « Opération Cronos », marque une étape importante dans la lutte mondiale contre les cybermenaces.
Les principaux résultats de l'opération Cronos contre LockBit
- Dommages à la réputation des principaux acteurs : Compte tenu de sa réputation ternie, LockBit est confronté à des défis importants pour reconstruire ses opérations et ses réseaux d'affiliation.
- Perturbation stratégique des infrastructures : L'approche en profondeur de l'opération a rendu extrêmement difficile et fastidieux pour les acteurs de reconstruire leurs systèmes et de se regrouper.
- Dissuasion efficace : Les informations sur les activités criminelles des affiliés et les avertissements ultérieurs ont probablement démantelé tous les programmes d'affiliation de LockBit et affaibli davantage la capacité opérationnelle du groupe.
- Sécurité accrue pour les entreprises : Les entreprises bénéficient des informations fournies par l’opération et du risque réduit d’être attaquées par un acteur majeur du marché des ransomwares.
« Nous sommes très heureux d'avoir pu soutenir avec succès les autorités internationales chargées de l'application des lois dans leur travail contre le groupe LockBit grâce à nos analyses de leur nouvelle version prévue », explique Robert McArdle, directeur de l'équipe de recherche prospective sur les menaces chez Trend Micro. « En gardant une longueur d'avance sur ces acteurs malveillants grâce à notre analyse, nous avons pu non seulement partager des informations avec les forces de l'ordre, mais également renforcer la protection de notre clientèle mondiale. Une évaluation de l’opération de perturbation montre que les renseignements sur les menaces à l’échelle mondiale apportent une contribution précieuse à l’augmentation du niveau de sécurité. »
BlackCat a également été massivement perturbé
Semblable à LockBit, une opération internationale d'application de la loi dirigée par le FBI a également réussi à infiltrer et à perturber l'infrastructure de BlackCat. En décembre, l'opération a pénétré les serveurs de BlackCat et fermé le site de fuite après avoir réussi à saisir des centaines de paires de clés pour les sites Tor de BlackCat.
Plus sur TrendMicro.com
À propos de Trend Micro En tant que l'un des principaux fournisseurs mondiaux de sécurité informatique, Trend Micro aide à créer un monde sécurisé pour l'échange de données numériques. Avec plus de 30 ans d'expertise en matière de sécurité, de recherche sur les menaces mondiales et d'innovation constante, Trend Micro offre une protection aux entreprises, aux agences gouvernementales et aux consommateurs. Grâce à notre stratégie de sécurité XGen™, nos solutions bénéficient d'une combinaison intergénérationnelle de techniques de défense optimisées pour les environnements de pointe. Les informations sur les menaces en réseau permettent une protection meilleure et plus rapide. Optimisées pour les charges de travail cloud, les terminaux, les e-mails, l'IIoT et les réseaux, nos solutions connectées offrent une visibilité centralisée sur l'ensemble de l'entreprise pour une détection et une réponse plus rapides aux menaces.