Ransomware : Six gangs de rançongiciels, responsables de plus de 50 % des cyberattaques selon l’Unit 42

août 2024 par Unit 42 de Palo Alto Networks

Ce qu’il faut retenir :

Explosion des ransomwares : L’Unit 42 révèle une augmentation de 4,3 % en glissement annuel du nombre d’annonces de compromissions, avec plus de 1 762 nouveaux messages publiés, soit une moyenne de 294 messages par mois et près de 68 messages par semaine. Pour rappel, en février, l’Unit 42 avait relevé une augmentation d’une année sur l’autre de 49 % du nombre de victimes présumées affichées sur des sites de fuites de rançongiciels. Les annonces de ransomware continuent d’augmenter, malgré de nombreuses perturbations et arrestations notables des forces de l’ordre.

Seuls 6 groupes sont responsables de plus de la moitié de ces attaques.

Le site de fuite de LockBit reste le plus actif, affichant des informations trompeuses et des données anciennes

L’impact sur les secteurs : Le secteur manufacturier est en tête avec 16,4 % des attaques, suivi par le secteur de la santé (9,6 %), qui est passé de la sixième à la deuxième place des secteurs les plus ciblés.

La répartition mondiale : Les États-Unis ont reçu 52 % du total des attaques. Dans l’ordre d’impact, les 10 autres pays les plus touchés étaient : le Canada, le Royaume-Uni, l’Allemagne, l’Italie, la France, l’Espagne, le Brésil, l’Australie et la Belgique.

Les facteurs moteurs : Les vulnérabilités nouvellement découvertes ont principalement alimenté l’activité des ransomwares, les attaquants cherchant à exploiter rapidement ces opportunités. Les acteurs de la menace ciblent régulièrement les vulnérabilités pour accéder aux réseaux des victimes, élever les privilèges et se déplacer latéralement dans les environnements violés. Le paysage des menaces dévoilé par l’Unit 42 a été inondé de zero-day et d’autres vulnérabilités graves, donnant aux acteurs de la menace un large menu parmi lequel choisir. Selon le plus récent rapport de réponse aux incidents de l’Unit 42, les vulnérabilités sont devenues la principale cause d’accès initial en 2023, dépassant pour la première fois d’autres méthodes courantes telles que le phishing. Les principales vulnérabilités exploitées en 2024 sont disponibles ici.

Les nouveaux groupes émergents sont LukaLocker, RansomHub et DragonForce. L’activité de groupes comme Ambitious Scorpius (distributeurs de BlackCat) et Flighty Scorpius (distributeurs de LockBit) a largement diminué en raison des opérations d’application de la loi.