Ransomware : 2024, une année marquée par l'évolution et l'intensification des menaces

Ce phénomène s'explique en grande partie par l'émergence de nombreux groupes qui se sont formés à la suite de la dissolution de certains ransomwares vétérans décrits ci-dessous. De nombreux affiliés expérimentés ont alors créé de nouvelles entités professionnelles, qui ont entraîné une recrudescence des attaques.
Cette année, les autorités ont intensifié leurs efforts contre les opérations de ransomware de grande ampleur, notamment avec l'action menée contre LockBit en février 2024. Ces interventions ont permis des arrestations, l'identification des responsables de certains groupes et la saisie d'infrastructures cybercriminelles.

Augmentation du nombre de groupes actifs
Les mesures répressives contre les principaux groupes de ransomware ont provoqué leur fragmentation, intensifié la rivalité entre des gangs plus modestes et favorisé l'émergence de nouveaux acteurs malveillants. Cette tendance se reflète dans l'augmentation notable du nombre de ransomware actifs, passé de 68 en 2023 à 95 en 2024, soit une hausse significative de 40 %.

Parmi les 46 nouveaux groupes apparus en 2024, RansomHub s'est rapidement imposé comme un acteur majeur, détrônant même LockBit, pourtant bien établi, en termes d'activité. D'autres nouveaux venus, tels que FOG, Lynx, APT73 et Eldorado, ont contribué à remodeler le paysage des menaces et représentent une part importante des incidents liés aux ransomwares. Notons également que les 10 groupes les plus actifs ont été à l'origine de 52,8 % des attaques, preuve de l'influence constante des nouveaux acteurs et du recul de l'hégémonie des groupes traditionnels.
Comme prévu, les États-Unis restent la principale cible des attaques de ransomware, avec 936 incidents recensés sur leur territoire en 2024. De son côté, l'Inde a connu 44 attaques au quatrième trimestre, un chiffre qui met en évidence une vulnérabilité grandissante face à ces cybermenaces.

Aux côtés de leaders établis tels que RansomHub, LockBit, Play, Akira, IncRansom et Medusa, la prolifération de groupes de hackers a eu des conséquences désastreuses pour les entreprises à l'échelle mondiale. En effet, elles ont subi des pertes financières considérables et ont été victimes de perturbations majeures.
Parmi les cibles privilégiées, le secteur des services aux entreprises reste particulièrement exposé aux attaques de ransomwares, confirmant les tendances déjà observées en 2023. Ce secteur a enregistré 451 attaques au cours de l'année, suivi par le commerce de détail et l'industrie manufacturière. Cette dernière a d'ailleurs connu une nette augmentation de l'activité des ransomwares au cours des trois derniers mois de l'année, avec 201 incidents recensés au quatrième trimestre, témoignant de l'intérêt croissant des opérateurs de ransomwares pour ce domaine. Le secteur de la construction s'est également imposé comme une cible majeure, avec une augmentation de 50 % des attaques en 2024 par rapport à 2023. Cette progression l'a propulsé à la quatrième place des secteurs les plus ciblés, lui qui était traditionnellement moins touché que des domaines comme la finance, l'éducation ou la santé, mieux classés en 2023.

Les raisons de cette augmentation
1. Ransomware-as-a-Service (RaaS) : ce modèle économique a démocratisé l'usage du ransomware et a permis à des acteurs néophytes de lancer des attaques sophistiquées. Des groupes comme RansomHub, qui s'est distingué avec 531 attaques, en sont une parfaite illustration.
2. Fragmentation : le démantèlement des principaux acteurs a ouvert la voie à des groupes plus petits et plus agiles, qui ont rapidement comblé le vide, intensifié la concurrence et stimulé l'innovation.
3. Évolution des tactiques : les acteurs de la menace concentrent de plus en plus leurs attaques contre les systèmes Linux et VMware ESXi. En parallèle, ils exploitent des outils du cloud pour exfiltrer des données sensibles et font appel à l'intelligence artificielle pour optimiser l'efficacité de leurs attaques.

Face à l'augmentation de ces attaques par ransomware, les entreprises doivent absolument adopter une approche proactive et multicouche de la cybersécurité, parmi lesquelles :
• Une détection avancée des menaces : mettez en place des solutions capables de fournir une visibilité en temps réel sur les activités du réseau et de détecter les nouvelles menaces pour pouvoir réagir rapidement et efficacement aux incidents.
• Une gestion des correctifs : mettez régulièrement à jour les systèmes pour corriger les vulnérabilités connues, et plus particulièrement dans les environnements Linux et VMware.
• Sensibilisation et formation : proposez à vos employés des formations régulières pour leur permettre d'identifier les tentatives de phishing et les autres vecteurs d'attaque courants.
• Une défense collaborative : une coopération avec les partenaires du secteur et les autorités compétentes pour partager des informations sur les menaces et renforcer les défenses collectives.

Enjeux à venir
Pour contrer l'évolution des ransomwares qui contournent les nouvelles techniques de cyberprévention, les entreprises doivent elles aussi continuer à s'adapter et faire de la vigilance et de la surveillance continue leurs priorités.
Check Point External Risk Management (anciennement Cyberint, désormais intégré à Check Point), contribue à réduire les risques en permettant aux entreprises d'identifier et d'atténuer les cybermenaces externes avant qu'elles puissent avoir un impact. Cette solution offre une meilleure visibilité grâce à une surveillance continue de la surface d'attaque, en constante évolution, et à la collecte ainsi qu'à l'analyse automatisées de vastes volumes de données provenant de l'Open Web, du Deep Web et du Dark Web.