Et ce, malgré le démantèlement du groupe plus tôt cette année.
En résumé : Les ransomwares demeurent une menace persistante, qui résiste aux efforts les plus déterminés des forces de l'ordre. Tout comme les cafards, ces groupes font preuve d'une étonnante capacité à s'adapter et à endurer face à l'adversité. C'est pourquoi il est essentiel que les organisations se protègent en mettant en œuvre des mesures de sécurité proactives et en élaborant des plans d'intervention complets.
Les attaques de ransomware continuent de nuire aux industries mondiales, et l'analyse récente de l'Unit 42 révèle une augmentation inquiétante de l'activité. Au cours des six premiers mois de 2024, l'Unit 42, l'équipe de renseignement sur les menaces de Palo Alto Networks, a surveillé les sites de fuite de 53 groupes de ransomware, observant 1 762 publications, soit une augmentation de 4,3 % par rapport à la même période de l'année précédente. Cette augmentation souligne la menace persistante posée par ces cybercriminels, malgré les efforts continus des forces de l'ordre pour démanteler leurs opérations.
Malgré le démantèlement des forces de l'ordre en février, LockBit 3.0 reste le groupe de ransomware le plus prolifique au début de l'année 2024. Connu sous le nom de Flighty Scorpius dans le système de suivi de l'Unité 42, LockBit 3.0 a fait 325 victimes au cours du premier semestre de l'année. Ce chiffre est significatif, même s'il représente une baisse par rapport aux 928 victimes enregistrées en 2023.
La méthode de catégorisation des groupes de ransomware de l'Unité 42 consiste à associer un modificateur à une constellation, ce qui permet d'identifier et de surveiller précisément ces acteurs de la menace. Par exemple, LockBit 3.0 est surnommé « Flighty Scorpius », tandis que BlackCat est appelé « Ambitious Scorpius ».
Les six principaux groupes de ransomwares sont responsables de plus de la moitié des infections observées. Après LockBit 3.0, le groupe Play, connu sous le nom de Fiddling Scorpius, a fait état de 155 victimes. Le groupe 8base, également connu sous le nom de Squalid Scorpius, et Akira, appelé Howling Scorpius, ont chacun fait 119 victimes.
BlackBasta, identifié comme Dark Scorpius, était responsable de 114 attaques, tandis que Medusa, ou Transforming Scorpius, a fait 103 victimes.
Play est passé de la quatrième place en 2023 à la deuxième place au cours de la première moitié de 2024, tandis que 8base, un nouveau venu relatif considéré comme une nouvelle marque de Phobos, est passé à la troisième place.
Il est intéressant de noter que deux groupes de ransomware importants de 2023 ne figuraient pas dans le top six du premier semestre 2024. ALPHV/BlackCat, précédemment classé deuxième avec 388 victimes, et CLOP, troisième avec 364 victimes, étaient notamment absents des premiers rangs.
Les données de l'Unit 42 mettent également en évidence les secteurs les plus touchés par les attaques de ransomware. Le secteur manufacturier est apparu comme le plus touché, représentant 16,4 % des publications observées sur les sites de fuites de ransomware.
Le secteur de la santé suit avec 9,6 %, un secteur particulièrement vulnérable en raison de sa sensibilité aux perturbations et aux temps d'arrêt. Le secteur de la construction a représenté 9,4 % des messages de ransomware, ce qui en fait le troisième secteur le plus touché.
Géographiquement, les États-Unis ont été les plus touchés, avec 917 compromissions, soit 52 % du total des attaques. Les autres pays fortement touchés sont le Canada, le Royaume-Uni, l'Allemagne, l'Italie, la France, l'Espagne, le Brésil, l'Australie et la Belgique.