2022 a également vu émerger un nombre record de franchises de ransomware : 73 actives au cours de l’année, dont 29 ont été créées au second semestre, une croissance de 55 % par rapport à 2021. LockBit s’est imposé comme leader du marché du ransomware en France et dans le monde, représentant 39 % du total des attaques revendiquées dans notre pays.

Le ransomware est une technique qui consiste à infiltrer le système informatique des organisations pour y installer un logiciel malveillant qui chiffre les données rendant le SI inutilisable. Seul le paiement d’une rançon à l’attaquant permettrait d’obtenir la clé de déchiffrement et la non diffusion des données sur le darkweb.

8 attaques revendiquées sur 10 ciblent l’Amérique du Nord et l’Europe ; les États-Unis demeurent la principale cible des organisations cybercriminelles en concentrant 38 % des attaques en 2022. Côté européen, ce sont l’Allemagne et la France qui sont dans le viseur des cybercriminels : elles concentrent à elles deux 45 % des attaques par ransomware des pays membres de l’Union Européenne, soit près d’une attaque sur deux. En un an, l’Allemagne a connu une recrudescence des cyberattaques par ransomware : le nombre d’organisations victimes a été multiplié par 2.

Contre toute attente, le conflit russo-ukrainien ne semble pas avoir accéléré le phénomène en Ukraine : seules 6 attaques par ransomware ayant été revendiquées. Cependant, d’autres types de cyberattaques sont privilégiés.

Une forte progression des attaques visant le secteur public

En France, en 2022, plus d’une attaque revendiquée sur trois vise le secteur public. Un chiffre en hausse de 23 % par rapport à 2021. Des attaques qui mettent à mal l’accès au service public et visent à déstabiliser le pays, puisqu’elles menacent des infrastructures vitales : les systèmes d’électricité et d’approvisionnement en eau, l’accès aux soins - comme l’ont prouvé les attaques des hôpitaux de Corbeil-Essonnes et de Versailles qui ont paralysé les systèmes durant plusieurs semaines.

Au-delà de la perturbation et l’interruption de services, les attaques par ransomware permettent aussi aux hackers de voler les données personnelles des usagers pour les exploiter à des fins malveillantes. Elles facilitent grandement les usurpations d’identités permettant de commettre d’autres lourdes escroqueries et méfaits. 

"Les données volées dans le cadre d’attaques par ransomware, tout comme les autres types de cyberattaques, viennent sans cesse alimenter l’ensemble des fuites de données sur le darkweb. La menace ransomware ne s’arrête pas à l’entité victime, elle est le point de départ d’une réaction en chaîne d’actes malveillants et criminels qui nous impacte tous, entreprises et particuliers." explique Alban Ondrejeck, CTO d’ANOZR WAY et ancien officier des services de renseignement français.

Les attaques s’envolent dans le secteur aéronautique

A l’échelle nationale, les industries de l’aéronautique, de l’aérospatial et de la défense, ainsi que des entreprises, écoles partenaires, ESN et cabinets d’avocats du secteur ont été prises pour cibles en 2022. Ce secteur hautement stratégique est convoité par différentes franchises de ransomware : LockBit, Alpha VM/BlackCat, HiveLeaks, etc. Cela peut poser la question de la répartition volontaire ou involontaire des attaques visant ces entités.

On peut émettre l’hypothèse que des organisations cybercriminelles (APT) adossées à des puissances étrangères s’adonnent à des activités d’espionnage sous couvert d’opérations de ransomware. Des cyberattaques souvent revendiquées sous le nom de franchises existantes, sans pour autant que des liens formels puissent être établis avec ces dernières.

Un nombre record de franchises de ransomware actives

Cette année marque l’ascension de LockBit qui domine le marché du ransomware : 1 attaque sur 4 revendiquée dans le monde. En France LockBit représente 39 % des attaques, devançant largement ses concurrents : Vice Society (4%), puis HiveLeaks et AlphVM/BlackCat (3% chacun).

L’année 2022 marque un tournant avec le plus haut nombre de groupes de ransomware jamais dénombré : 3 franchises actives sur l’année. Une augmentation de 55 % par rapport à l’année 2021, avec un pic de création de groupes au 2nd semestre.

Le paysage du ransomware a évolué vers une nébuleuse de groupes indépendants, complexifiant le travail des forces de l’ordre. Le business du ransomware est un modèle attractif, facilité par la fuite du code source de certains ransomwares (Conti et LockBit).
"C’est un cycle sans fin, quand une tête est coupée, d’autres apparaissent, avec de nouvelles cibles et de nouveaux modes opératoires", explique Alban Ondrejeck, CTO d’ANOZR WAY et ancien officier des services de renseignement français.