Malgré des perturbations récentes et une baisse des paiements de rançons, les groupes de ransomware n’ont pas dit leur dernier mot. De plus en plus fragmentés, ils réinventent leurs modèles.

Sans dire qu’ils vacillent, les groupes de Ransomware-as-a-Service ont connu quelques perturbations ces derniers mois. Dans son dernier rapport sur les ransomwares, CheckPoint fait état d’un écosystème en pleine mutation, confronté à certaines difficultés, notamment une baisse (toute relative) du paiement des rançons. « Pour la première fois, les taux de paiement de rançons ont chuté de 25 à 27 % selon Coveware », écrit CheckPoint.

Cette baisse s’explique par plusieurs facteurs. D’abord, les entreprises sont plus résilientes et investissent davantage dans leurs capacités de sauvegarde et de réponse aux incidents. Ensuite, la confiance envers les cybercriminels, si l’on peut parler de confiance, s’étiole. « Les victimes doutent de plus en plus que le paiement garantisse une clé de déchiffrement fonctionnelle ou la suppression des données (exfiltrées, ndlr). »

À cela s’ajoute la pression accrue contre les cybercriminels, plutôt payante ces derniers mois, mais aussi la pression réglementaire qui interdit de plus en plus clairement le versement de rançons, comme aux États-Unis et en Australie. Le Royaume-Uni travaille également à interdire de payer aux organismes publics et les opérateurs d’infrastructures critiques. Il faut toutefois relativiser l’efficacité de cette interdiction : selon un rapport de Cohesity présenté en septembre 2024, à l’échelle mondiale, 69 % des entreprises victimes d’un ransomware auraient versé une rançon en 2023, et ce chiffre grimpe à 92 % en France.

Une menace fragmentée

Les groupes de ransomware restent une menace bien vivace, prévient Proofpoint. On le savait déjà, les attaquants adaptent leurs méthodes en recourant à la triple extorsion. En plus du chiffrement, s’ajoutent le vol de données et des attaques directes contre des partenaires, employés ou clients. Les données sont aussi de plus en plus souvent mises en vente sur des sites d’enchères clandestins, afin de monétiser les informations même si la victime n’a pas versé de rançon.

Proofpoint relève aussi une fragmentation du secteur. Certaines têtes d’affiche comme LockBit ont perdu des affiliés, d’autres comme RansomHub semblent avoir cessé leurs activités, tandis que des groupes comme Cactus ont tout simplement éclaté en plusieurs petites entités.

Faut-il y voir un signe de fléchissement ? Pas selon Proofpoint : « Au lieu d’un déclin de l’activité, on observe une montée de nouveaux acteurs ou de groupes renommés […] les malwares sont recyclés, les indicateurs traditionnels perdent en pertinence. » Proofpoint met en garde contre ces petits groupes émergents, qui passent sous les radars des forces de l’ordre et des équipes de réponse aux incidents. « En résumé, l’écosystème ransomware ne rétrécit pas : il se fragmente », quand il n’adopte pas carrément un nouveau business model.

L’entreprise décrit le cas du groupe DragonForce, qui se qualifie de « modèle de cartel de ransomware ». Il laisse aux affiliés la possibilité d’opérer de manière quasi indépendante en menant leurs propres campagnes, avec leurs propres tactiques d’extorsion. DragonForce fournit outils et infrastructure aux attaquants, qui mènent leurs attaques sous ce nom, sans que les opérateurs principaux soient directement impliqués. Ce modèle, plus sûr, permet au groupe de faire tache d’huile et d’être ainsi plus difficile à démanteler.

.