Au premier semestre 2023, les attaques de ransomwares ont augmenté de 46 %. Le principal attaquant reste Lockbit, les principales victimes sont les PME. C’est ce que montre le rapport Incident Response Ransomware avec sa surveillance du Dark Web.
Dans le rapport Incident Response Ransomware d'Arctic Wolf, la société partage les données actuelles des cas de réponse aux incidents (IR) de sa plateforme d'opérations de sécurité et les dernières informations sur la surveillance du dark web d'Arctic Wolf Labs.
La surveillance du Dark Web montre une forte augmentation des attaques de ransomwares
Sur le Dark Web, les auteurs de menaces maintiennent des sites dits de fuite ou de honte. Sur ces sites, ils menacent leurs victimes de publier leurs données et les mettent ainsi sous pression pour qu'elles se conforment aux demandes de rançon. Même si ces sites ne représentent pas une documentation exacte de toutes les cyberattaques mondiales, ils n’en restent pas moins un bon indicateur de l’activité sur le dark web et permettent de contextualiser le paysage actuel des menaces. Arctic Wolf surveille activement les sites de fuites connus pour mieux comprendre la dynamique du paysage des menaces.
L’augmentation significative des attaques de ransomwares et de l’activité du dark web au cours du premier semestre 2023 (S1) a donné lieu au plus grand ensemble de données qu’Arctic Wolf ait jamais collecté dans le cadre de sa surveillance du dark web et de ses données de cas IR. L’expert en opérations de sécurité a observé une augmentation de 1 % des incidents de ransomware au premier semestre 2023 par rapport au second semestre 43.
Principaux acteurs de la menace
- Lockbit est le groupe de menaces qui a publié le plus de publications sur les sites honteux du Dark Web au premier semestre 1, avec un volume de publications augmentant de plus de 2023 % par rapport à la même période de l'année dernière. Cependant, après un pic d'activité au cours des quatre premiers mois de l'année, le nombre de publications sur le dark web a diminué en mai et juin, repoussant le groupe de la première place.
- MalasLocker est apparu en mai. Dans ses premiers articles sur le dark web, le groupe a publié des données sur un grand nombre de victimes basées en Russie. On ne peut pas dire avec certitude si c’est une coïncidence ou s’il s’agit d’une intention intentionnelle. Toutefois, la situation géographique des victimes est plutôt inhabituelle. De plus, le site honteux et les notes de rançon MalasLocker contiennent des messages suggérant une motivation « hacktiviste ».
- CI0p, un groupe de ransomware apparu pour la première fois en février 2019, a été identifié en juin comme l'auteur des exploits à grande échelle de MOVEit Transfer (CVE-2023-34362, CVE-2023-35036, CVE-2023-35708 et CVE-2023). - 36934) confirmé. Arctic Wolf a suivi leur activité sur les sites de fuites entre le 14 juin et le 14 juillet 2023 et a observé 169 cas, dont 120 aux États-Unis, neuf au Royaume-Uni et huit en Allemagne.
Mis à part MalasLocker, qui semble être politiquement motivé, Cl0p, Lockbit et la grande majorité des groupes d'attaque sont motivés par des raisons financières. Quels que soient le secteur d'activité, les revenus ou le nombre d'employés de l'entreprise victime, de nombreux acteurs malveillants lancent leurs attaques en exploitant des vulnérabilités externes, comme CI0p, ou en envoyant en masse des e-mails de phishing sophistiqués à des organisations du monde entier.
L'industrie manufacturière ciblée par des groupes de ransomwares
Tout au long du premier semestre 1, les entreprises manufacturières ont été de loin les victimes les plus fréquentes d’attaques de ransomwares. Malgré le nombre élevé de publications sur les sites honteux du Dark Web par rapport à d'autres secteurs, la médiane* des réclamations pour ransomware émanant des personnes concernées dans l'industrie manufacturière était inférieure à la médiane du total des réclamations des cas IR enregistrés. Cela montre que même si l’industrie manufacturière n’est pas la plus rentable pour les acteurs de la menace, elle est plus facile à exploiter en raison de l’ampleur et de la complexité de ses opérations.
Les demandes de rançon augmentent dans tous les secteurs : Inflation ?
La demande de rançon moyenne pour tous les incidents de ransomware auxquels Arctic Wolf a répondu au cours du premier semestre s'élevait à 600.000 43 $, soit une augmentation de XNUMX % par rapport à la même période de l'année dernière.
Les pressions inflationnistes ont-elles également touché le secteur de la cybercriminalité ? Plutôt pas. Une combinaison de plusieurs facteurs est plus probable : d’une part, les groupes de ransomware tentent de compenser la baisse des ventes après avoir dû limiter leurs activités en 2022 en raison de la guerre d’agression russe. D’un autre côté, la valeur des crypto-monnaies a augmenté au cours de l’année écoulée. Le prix du Bitcoin est passé d’environ 25.000 30 $ le 2022 juin 40.000 à plus de 30 2023 $ le XNUMX juin XNUMX.
En ce qui concerne les différents secteurs, on constate une certaine variation des demandes de rançon dans certains secteurs par rapport à l'année précédente, la valeur médiane* des demandes étant une fois de plus la plus élevée dans le secteur technologique et la plus faible dans celui de la construction. Ces positions stagnantes reflètent la sophistication des acteurs de la menace et montrent qu'ils ont une bonne compréhension du montant que les industries peuvent payer. Ceci est basé à la fois sur les données financières accessibles au public des entreprises et sur les informations qu'elles collectent chaque année lors d'attaques contre des milliers d'entreprises.
Les PME les plus touchées par les ransomwares
Les petites et moyennes entreprises (PME) sont particulièrement touchées par la montée des ransomwares. 82 % des victimes au premier semestre 1 avaient moins de 2023 1.000 salariés.
Même si les grandes entreprises et sociétés ne sont pas à l’abri d’être victimes, elles disposent le plus souvent de budgets de sécurité plus importants. Les PME ont donc souvent plus de difficultés à mettre en œuvre un programme d’opérations de sécurité efficace en raison d’un manque de ressources financières et d’expertise interne en matière de sécurité. Comparées aux grandes entreprises avec des milliards de revenus, les PME sont également moins en mesure d’absorber l’impact financier des interruptions d’activité résultant d’un cyber-incident. Les propriétaires sont donc plus disposés à payer rapidement une rançon pour redémarrer les opérations. Cela en fait une cible attractive.
Plus sur ArcticWolf.com
À propos du loup arctique Arctic Wolf est un leader mondial des opérations de sécurité, fournissant la première plate-forme d'opérations de sécurité native dans le cloud pour atténuer les cyber-risques. Basé sur la télémétrie des menaces couvrant les points finaux, le réseau et les sources cloud, Arctic Wolf® Security Operations Cloud analyse plus de 1,6 billion d'événements de sécurité par semaine dans le monde. Il fournit des informations essentielles à l'entreprise dans presque tous les cas d'utilisation de la sécurité et optimise les solutions de sécurité hétérogènes des clients. La plateforme Arctic Wolf est utilisée par plus de 2.000 XNUMX clients dans le monde. Il fournit une détection et une réponse automatisées aux menaces, permettant aux organisations de toutes tailles de mettre en place des opérations de sécurité de classe mondiale en appuyant simplement sur un bouton.