En revanche, cette diminution des rançons payées ne signifie pas nécessairement qu’il y a eu une baisse des attaques. "La baisse des revenus des cyber attaquants n’est pas liée à une baisse du nombre d’attaques mais probablement à la réticence croissante des victimes à payer les rançons. Cette réticence est la conséquence de plusieurs facteurs, notamment l’utilisation plus étendue de solutions permettant de sauvegarder et/ou récupérer ses données et qui atténuent l’impact des attaques mais aussi la crainte d’enfreindre les réglementations gouvernementales interdisant le paiement de rançons à des organisations potentiellement affiliées à des pays et des groupes sanctionnés.", explique Kim Grauer, Director of Research chez Chainalysis.

L’étude met également en lumière les techniques utilisées par les auteurs de ransomware pour blanchir leurs gains illicites. La part des fonds des ransomwares envoyés vers les plateformes d’échanges de cryptomonnaies dites “classiques” est passée de 39,3 % en 2021 à 48,3 % en 2022, tandis que la part envoyée vers les plateformes jugées à haut risque a chuté de 10,9 % à 6,7 %. L’utilisation de services illicites, tels que les marchés du darknet, pour le blanchiment d’argent des ransomwares a également diminué, tandis que l’utilisation des mixeurs (services mélangeant les cryptomonnaies de nombreux utilisateurs pour cacher l’origine des fonds et l’identité de leurs propriétaires), est passé de 11,6 % à 15 %.

Malgré la baisse du nombre d’attaques et des rançons versées, le nombre de souches uniques de ransomware en activité aurait explosé en 2022, une étude de la société de cybersécurité Fortinet affirmant que plus de 10 000 souches uniques étaient actives au premier semestre 2022. Cependant, en 2022, la durée de vie des ransomwares a continué de se réduire avec une durée d’activité moyenne de 70 jours pour une souche de ransomware contre 153 en 2021 et 265 en 2020.

Souhaitant alerter sur le fait que les apparences sont parfois trompeuses, Kim Grauer déclare que "le renouvellement constant des principales souches de ransomware et l’apparition de nouvelles souches pourraient laisser penser que le monde des ransomwares est surpeuplé, avec un grand nombre d’organisations criminelles en concurrence les unes avec les autres et de nouveaux venus faisant constamment irruption. Cependant, si de nombreuses souches restent actives tout au long de l’année, le nombre réel de cybercriminels qui composent l’écosystème des ransomwares demeure probablement assez faible."

En effet, les données on-chain mettent en lumière de nombreux cas de portefeuilles uniques recevant des paiements importants liés à plusieurs souches de ransomware à différents moments. "En suivant les portefeuilles associés à des cyber attaquants connus, nous avons pu cartographier l’évolution de l’écosystème des ransomwares. L’important chevauchement que nous avons découvert remet en question le sentiment selon lequel il s’agit d’un écosystème extrêmement vaste. Au contraire, nous constatons que l’épicentre des acteurs malveillants est en fait très concentré. Heureusement, malgré tous les efforts des cyber attaquants, la transparence de la blockchain permet aux enquêteurs de repérer rapidement leurs tentatives de changement d’identité." déclare Kim Grauer.