Les Rançongicielss en contexte : 2024, une année de bouleversements

27 mars
Fond bleu dégradé. Un ovale orange clair contient le texte blanc « BLOG ». En dessous, on peut lire en blanc : « Ransomware in Context: 2024, A Year of Tumultuous Change », accompagné d’une flèche orange clair pointant vers le bas.

L'année 2024 a marqué un tournant décisif dans le paysage des rançongiciels. En décembre 2023, les forces de l'ordre internationales ont démantelé le site BlackCat Leaks, ce qui a conduit le groupe à lever toutes les restrictions éthiques imposées à ses affiliés et à déclarer toutes les organisations d'Europe occidentale et des États-Unis comme cibles potentielles, y compris les centrales nucléaires et les hôpitaux pour enfants.

Quelques semaines plus tard, un message mystérieux est apparu sur les forums du dark web RAMP, XSS et Breach, prétendant vendre des données provenant d'une attaque de Rançongiciels perpétrée contre le La société russe AN-SECURITY[.].ru utilise le Rançongiciels LockBit.

Plus récemment encore, le compte LockBitSupp a été banni de l'un des principaux serveurs. Forums de cybercriminalité en langue russe pour avoir escroqué un courtier d'accès initial, ce qui a rapidement entraîné la fermeture du blog LockBit par les forces de l'ordre. 

Chacun de ces événements est intéressant en soi, mais ensemble, ils dressent un tableau plus large d'un écosystème de Rançongiciels en pleine période de turbulences et de transformation radicale. L'équipe de Flare Research a exploré divers forums du dark web pour mener l'enquête. Cet article se propose d'analyser chaque événement successivement et de se concentrer sur les facteurs explicatifs qui permettent de comprendre les raisons de cette évolution rapide de l'écosystème. Nous présenterons d'abord un bref résumé de chaque événement avant de conclure. 

Le démantèlement d'Alphv en décembre 2023

BlackCat est l'une des plus grandes Ransomware en tant que service (RaaS) BlackCat, un groupe russe de Rançongiciels en tant que service, est le deuxième groupe de l'écosystème à avoir perpétré le plus grand nombre d'attaques en 2023, juste derrière LockBit. Il fonctionne selon un modèle d'affiliation dans lequel le groupe fournit l'application de Rançongiciels et d'autres acteurs malveillants lancent des attaques et se partagent les bénéfices des paiements de rançon.

En décembre 2023, le FBI, en collaboration avec les forces de l'ordre internationales, a réussi à compromettre l'infrastructure de BlackCat. Selon le communiqué de presse du département américain de la Justice relatif à cette opération :

Le FBI a mis au point un outil de décryptage permettant à ses bureaux de terrain à travers le pays et à ses partenaires des forces de l'ordre dans le monde entier d'offrir à plus de 500 victimes la possibilité de restaurer leurs systèmes. À ce jour, le FBI a collaboré avec des dizaines de victimes aux États-Unis et à l'étranger pour mettre en œuvre cette solution, sauvant ainsi de nombreuses victimes de demandes de rançon totalisant environ 68 millions de dollars.

Quelques semaines plus tard, BlackCat a publié le message ci-dessous annonçant que les affiliés recevraient jusqu'à 90 % des paiements de rançon et qu'ils supprimaient toutes les restrictions de ciblage imposées aux affiliés. 

Capture d'écran d'une page web à fond blanc. Une bannière verte en haut affiche le texte noir « CE SITE WEB A ÉTÉ DÉSACTIVÉ ». En dessous, on aperçoit l'image d'un chat noir et une lettre en russe.
BlackCat a publié un communiqué annonçant que son site web avait été débloqué et a également partagé un nouveau lien vers son site.

Avant le démantèlement du réseau, BlackCat imposait des règles strictes à ses affiliés concernant le ciblage de leurs organisations. Par exemple, les centrales nucléaires et les hôpitaux pour enfants étaient auparavant exclus. Suite à ce démantèlement, le groupe a déclaré que ses affiliés pouvaient désormais cibler n'importe quelle organisation, quels que soient son secteur d'activité ou son importance. De plus, BlackCat a augmenté la répartition des rançons : 90 % du montant versé reviendront aux affiliés, tandis que BlackCat ne conservera que 10 %. 

Dans le contexte

Cette série d'événements était en soi très révélatrice. Elle a démontré que BlackCat était manifestement préoccupé par sa capacité à conserver ses affiliés après l'humiliation causée par la compromission d'une partie de son infrastructure. Ceci souligne le rôle absolument central que jouent les affiliés dans l'écosystème actuel des Rançongicielss, où trois groupes sont responsables de plus de la moitié des attaques par rançongiciel. 

La saga de la faille de sécurité d'AN

En février 2024, un mystérieux message est apparu sur le forum RAMP, prétendant vendre des données appartenant à la société de sécurité privée russe AN-Security. 

Capture d'écran d'un message sur un forum du dark web. Le titre est « RUSSIE ~5 To, An-Security, https://an-security.ru »
Capture d'écran d'une publication sur le forum RAMP proposant un accès à AN-Security

Au sein des communautés russophones de cybercriminalité, toute attaque visant des cibles situées en Russie ou dans les pays membres de la Coalition des États indépendants (pays alliés à la Russie) est strictement interdite. La police fédérale russe est peu susceptible d'arrêter les auteurs de ces attaques ciblant des entreprises aux États-Unis ou en Europe occidentale, mais elle ne tolérera aucune attaque contre des entreprises ou des actifs russes.

Capture d'écran d'un message du forum RAMP, posté par un modérateur, indiquant « Travailler avec CIS - Interdit » sur fond noir.
Un modérateur du forum RAMP évoque la règle interdisant d'attaquer des cibles situées en Russie ou dans la Coalition des États indépendants (pays de la CEI alignés sur la Russie).

Le message a rapidement été verrouillé et l'utilisateur banni en raison de la politique de tolérance zéro de RAMP concernant le ciblage d'organisations au sein des pays de la CEI. Cependant, l'affaire ne s'est pas arrêtée là : le même message a été republié sur plusieurs autres forums.

Quelques heures plus tard, le compte LockBitSupp a publié un message indiquant qu'il était victime d'un complot. 

Message de LockBitSupp sur le forum, avec du texte blanc sur fond noir. LockBitSupp y décrit sa configuration.
LockBitSupp explique sa conviction d'avoir été piégé.

À notre connaissance, aucune mesure policière n'a été prise en Russie ni ailleurs suite à cet incident. Cependant, le déroulement des événements est extrêmement intéressant. La faille semble réelle, ce qui signifie que :

  • Un acteur malveillant relativement sophistiqué a réussi à compromettre une importante entreprise russe ayant des liens avec le Kremlin.
  • Ils ont ensuite exfiltré les données et les ont mises en vente à un prix bien supérieur à celui des autres annonces sur les forums.
  • Il semblerait que cela ait été fait dans le but possible de rendre le groupe LockBit vulnérable aux attaques des forces de l'ordre russes. 

Dans le contexte

On ignore encore quel groupe a ciblé an-security[.]ru. Il est fort possible qu'ils aient tenté de piéger LockBit ou qu'ils aient eu une autre motivation. Si l'on accepte l'explication de LockBit selon laquelle c'est le groupe CL0P qui les a ciblés, la situation devient encore plus intéressante.

Cela suggérerait soit que CL0P nourrissait une rancune tenace envers LockBit, soit qu'il pensait pouvoir tirer un profit financier de la mise hors service de LockBit. CL0P n'opère pas selon un modèle d'affiliation « traditionnel », mais au sein d'un groupe fermé et très soudé qui identifie et exploite les failles zero-day à grande échelle. 

LockBit banni de XSS

L'un des événements les plus marquants, intéressants et pourtant peu médiatisés de ces deux derniers mois a été l'interdiction par LockBit du forum XSS, situé sur le dark web. XSS est une plateforme essentielle pour les courtiers en accès initial, des acteurs malveillants qui s'introduisent dans les systèmes d'entreprise pour ensuite revendre l'accès.

En février 2024, un courtier d'accès initial a posté un sujet Ils accusaient Lockbit d'escroquerie et fournissaient, à titre de preuves, plus de 14 pages de conversations privées entre le courtier d'accès et Lockbit. Le litige a éclaté car le courtier avait donné accès au système avant tout accord de paiement, puis avait refusé l'offre de Lockbit par la suite.

Le message de l'acteur de la menace michon concernant LockBit dans les failles XSS est en texte noir sur fond blanc.
Initial Access Broker a publié un message affirmant que LockBit les avait escroqués.

Les échanges privés entre le courtier et LockBit ont été riches en révélations fascinantes. En résumé :

  • LockBit achetait l'accès initial pour le compte de ses affiliés.
  • Le courtier d'accès initial a donné prématurément accès à LockBit en promettant une négociation ultérieure sur le paiement.
  • LockBit segmentait les victimes en fonction de leur maturité technique et de sécurité, confiant les environnements complexes avec certains fournisseurs EDR aux filiales plus sophistiquées. 
  • D'après la conversation, il semblerait que le courtier d'accès utilisait un logiciel malveillant de type vol d'informations pour accéder aux environnements et s'y installer durablement.
  • LockBit s'inquiétait sérieusement de savoir si le courtier avait déjà vendu l'accès à plusieurs reprises, ce qui témoigne de la méfiance au sein de l'écosystème et du fait que les groupes dépendent probablement de fournisseurs d'accès privés. 
  • Le courtier et LockBit se sont brouillés lorsque LockBit a voulu payer un forfait pour la première organisation, puis partager une commission de 10 % pour la deuxième violation, et augmenter de 1 % jusqu'à 20 % pour les attaques réussies suivantes. 

Dans le contexte:

Compte tenu des autres événements marquants survenus dans l'écosystème des Rançongicielss, la fuite des journaux de discussion de LockBit est passée inaperçue, mais ils ont révélé plusieurs éléments surprenants et intéressants. Tout d'abord, le fait que LockBit achetait des accès pour le compte de ses affiliés est en soi très révélateur. Cela suggère une forte concurrence, notamment pour les affiliés les plus compétents, capables de compromettre des environnements extrêmement complexes.

De plus, cet article apporte un éclairage intéressant sur l'écosystème des IAB et explique pourquoi ces derniers référencent souvent des solutions EDR. Établir un accès et une persistance est une chose, mais exploiter cet accès et réussir une attaque est bien plus complexe et dépend de nombreux facteurs.

Le démantèlement de LockBit

En mars 2024, les forces de l'ordre ont démantelé le blog de LockBit, suscitant immédiatement un vif intérêt auprès des professionnels de la cybersécurité et des médias grand public. Cette opération, baptisée Opération Cronos, a permis de compromettre l'infrastructure de LockBit. Cinq personnes ont été inculpées, deux arrêtées et des centaines d'adresses de cryptomonnaies ont été gelées.

La page d'accueil de LockBit après le démantèlement du site affiche un message des forces de l'ordre, accompagné des logos de leurs organisations et des drapeaux des organisations impliquées, entourant le logo de LockBit.
Capture d'écran du site web de LockBit après sa fermeture par les forces de l'ordre.

Bien que cela n'ait pas mis fin aux activités de LockBit, le démantèlement du groupe a gravement nui à sa réputation et a probablement entraîné la fuite de nombreux affiliés. Le fait que les forces de l'ordre internationales aient pu identifier des affiliés et émettre des mandats d'arrêt à leur encontre a également très probablement compromis la capacité de LockBit à mener ses activités et à recruter de nouveaux membres. 

Arnaque à la sortie BlackCat

Le dernier événement notable de ces trois derniers mois est l'escroquerie de sortie perpétrée par BlackCat contre sa propre filiale.

Petite parenthèse : Qu'est-ce qu'une arnaque à la sortie ?

Une escroquerie à la sortie se produit lorsqu'un individu malveillant rompt un accord et s'enfuit avec des milliers, des centaines de milliers, voire des millions de dollars. Comme les cybercriminels ne peuvent pas porter plainte directement auprès des forces de l'ordre, leurs recours sont très limités. Les escroqueries à la sortie sont fréquentes sur les places de marché du dark web, mais moins courantes chez les groupes de Rançongiciels. Dans la plupart des cas, pour une offre de Rançongiciels sophistiquée, il est plus rentable de préserver sa réputation. 

En février, le système d'échange de données d'assurance maladie américain Change Health Care a été victime d'une cyberattaque menée par une filiale de BlackCat. Cette dernière a menacé de divulguer quatre téraoctets de données volées lors de l'attaque si Change Health Care ne versait pas une rançon astronomique de 22,000,000 millions de dollars. 

Change Healthcare a payé BlackCat, qui semble ensuite avoir escroqué son partenaire. Quelques jours plus tard, un faux avis de retrait du FBI a été publié sur le site de BlackCat, et un représentant du groupe a affirmé sur RAMP, un forum russe du dark web spécialisé dans les Rançongicielss, que les forces de l'ordre les avaient infiltrés suite aux plaintes de son partenaire qui n'avait pas reçu les 20,000,000 millions de dollars qui lui avaient été versés. 

Panorama des Rançongicielss : qu’est-ce que cela signifie ?

Le paysage des rançongiciels est en pleine mutation. Les deux plus importants groupes, LockBit et BlackCat, ont été démantelés par les forces de l'ordre internationales ces quatre derniers mois, et leur fragmentation semble de plus en plus probable. Quelles conséquences en tirer ? Voici quelques pistes de réflexion. 

En quoi cela change-t-il la donne pour les Rançongicielss ?

Pour répondre à cette question, il convient de prendre en compte plusieurs points importants. Premièrement, LockBit et BlackCat n'étaient pas responsables de la grande majorité des attaques qui leur sont attribuées ; dans la quasi-totalité des cas, ce sont leurs affiliés qui l'étaient. La véritable question à se poser est : dans quelle mesure les fermetures de comptes et les arrestations perturbent-elles l'écosystème des affiliés ?

Il est important de comprendre que les rançongiciels constituent une réponse structurelle à une convergence de facteurs économiques, géopolitiques et sociaux, et non un phénomène isolé. Des milliers d'acteurs malveillants sont actifs dans l'écosystème des rançongiciels ; dans de nombreux cas, leurs revenus sont bien supérieurs au salaire moyen dans leur pays. Les actions des forces de l'ordre ont perturbé l'infrastructure qu'ils utilisaient, mais n'ont eu qu'un impact minime sur les acteurs eux-mêmes. 

Quels sont les points importants que nous avons identifiés dans les cinq événements examinés ci-dessus ?

  • L'écosystème des Rançongicielss est incroyablement compétitif, avec une concurrence féroce entre les groupes, certains allant même jusqu'à créer des groupes rivaux pour être ciblés par les forces de l'ordre.  
  • Les affiliés de Rançongiciels opérant sous l'égide de fournisseurs RaaS représentent la majorité des attaques ; l'écosystème des affiliés est essentiel, et par extension, l'écosystème initial des courtiers d'accès qui fournissent l'accès l'est tout autant.
  • Face à une concurrence accrue, les groupes ont de plus en plus recours à des mesures pour attirer des filiales, comme la réduction des marges ou l'autorisation pour les filiales de cibler n'importe quelle entreprise ou secteur.
  • Les actions des forces de l'ordre perturbent l'infrastructure des groupes de Rançongiciels, mais sans inculpation, il est difficile de perturber leurs opérations pendant de longues périodes.
  • Les mises en examen, même pour des personnes résidant dans des pays n'ayant pas conclu de procédure d'extradition, nuisent à l'écosystème. Les personnes mises en examen dans des pays comme la Russie se voient interdire de voyager dans les pays respectueux de l'État de droit. Cela peut dissuader certains affiliés. 
  • Il est probable que nous assistions à une transformation substantielle de l'écosystème des Rançongicielss, qui passe d'un modèle dominé par LockBit et BlackCat à un nouvel équilibre. 

Perspectives concernant les Rançongicielss

« Il est difficile de faire des prédictions, surtout concernant l'avenir. » – Niehl's Bohr

Les attaques de rançongiciels pourraient emprunter de nombreuses voies à partir de maintenant, mais deux nous semblent relativement probables. La première pourrait être qualifiée de « fragmentation de l'écosystème », une tendance que nous avons observée à maintes reprises sur les marchés du dark web, comme lors du démantèlement de Dream Market, au cours duquel les acteurs malveillants se sont dispersés sur de nombreux sites de niche plus petits. Une autre voie possible serait l'émergence d'un ou deux groupes dominants parmi la cinquantaine de groupes de rançongiciels actifs.


Fragmentation et dispersion

Dans ce scénario, les perturbations causées par BlackCat et LockBit entraînent un phénomène déjà observé à plusieurs reprises dans l'écosystème de la cybercriminalité : les acteurs se dispersent au sein de différents groupes ou forment leurs propres groupes. Par exemple, lors de l'invasion de l'Ukraine, Conti a annoncé son soutien à la Russie, le groupe s'est effondré et de nombreux administrateurs et membres influents ont choisi de créer leurs propres groupes.

Si ce scénario se produisait, les rançongiciels se répandraient davantage, avec moins de grands groupes et plus de petits groupes disjoints. D'une certaine manière, cela accroîtrait le niveau de risque, car ces groupes exercent une force structurante et influente, notamment en interdisant le ciblage de certains secteurs d'infrastructures critiques. 

RaidForums était un exemple significatif de fragmentation survenant lorsqu'une plateforme ou un forum majeur est fermé. 

RaidForums était l'un des plus grands forums de piratage informatique au monde, avec plus de 500 000 membres. Il servait de plaque tournante majeure pour les cybercriminels qui y achetaient et vendaient des données volées, notamment des informations personnelles, des données de cartes bancaires et des identifiants. Le forum était également connu pour ses fuites de bases de données très médiatisées, souvent obtenues par piratage ou extraction de données.

Suite à une opération conjointe des forces de l'ordre des États-Unis, du Royaume-Uni, de Suède, du Portugal et de Roumanie, le forum RaidForums a été démantelé et mis hors ligne. Son fondateur et principal administrateur, Diogo Santos Coelho, a été arrêté au Royaume-Uni.

La fermeture de RaidForums a entraîné une fragmentation importante de la communauté de la cybercriminalité, de nombreux utilisateurs se dispersant vers des sites plus petits et moins connus. 

Si nous observions le même phénomène avec les groupes de Rançongiciels, nous nous attendrions à ce que de nombreuses petites opérations RaaS se développent quelque peu, et que de nombreuses nouvelles se forment sans les mêmes acteurs dominants clairement établis ces dernières années. 

De nouveaux groupes prennent leur place

Il est également tout à fait envisageable d'imaginer un scénario où des groupes plus petits absorbent l'afflux d'affiliés quittant Lockbit et BlackCat. L'écosystème continue globalement sur sa lancée, mais quelques groupes émergent à nouveau et prennent de l'importance. Pour un groupe de Rançongiciels, devenir un acteur majeur présente des avantages et des inconvénients. 

La notoriété universelle de la marque et une présence médiatique régulière facilitent le recrutement d'affiliés. Cependant, elles font également du groupe une cible privilégiée des forces de l'ordre internationales. Si quelques grands groupes continuaient de dominer l'écosystème, BlackCat et LockBit pourraient changer d'image, effaçant ainsi l'image ternie par les fermetures de leurs sites, ou bien des groupes totalement indépendants pourraient combler le vide laissé par ces deux acteurs. 

Suite aux récents démantèlements et mises en examen, il sera probablement très difficile pour les groupes d'atteindre le même niveau de notoriété et de succès que Lockbit et BlackCat. Les affiliés pourraient naturellement se désengager à mesure que les groupes prennent de l'ampleur et attirent l'attention croissante des forces de l'ordre. 

Où cela nous mène-t-il ?

Les rançongiciels resteront probablement une source importante de perturbations et de pertes dans un avenir prévisible. La conjonction des risques géopolitiques, de la dépendance croissante aux technologies de l'information complexes et de l'adaptabilité de l'écosystème de la cybercriminalité rend extrêmement difficile l'élimination des rançongiciels en tant que menace pour les organisations. Comme l'ont montré les fermetures de grands forums tels que RaidForums, l'écosystème de la cybercriminalité est résilient et s'adapte rapidement aux perturbations. 

Les récents bouleversements dans le paysage des Rançongicielss, notamment le démantèlement de Lockbit et BlackCat, pourraient entraîner une période de fragmentation et de restructuration. Toutefois, il est fort probable que l'écosystème des Rançongicielss perdure sous une nouvelle forme, le niveau de risque global pouvant légèrement diminuer ou augmenter selon son évolution. 

Surveillance des expositions aux Rançongicielss (chaîne d'approvisionnement) avec Flare

La fusée Gestion de l'exposition aux menaces (TEM) La solution permet aux organisations de détecter, hiérarchiser et atténuer de manière proactive les types d’expositions couramment exploitées par les acteurs de la menace. Notre plateforme analyse automatiquement et en permanence le Web clair et sombre et les canaux Telegram illicites pour découvrir des événements inconnus, hiérarchiser automatiquement les risques et fournir des informations exploitables sur les tiers que vous pouvez utiliser instantanément pour améliorer la sécurité.

Apprenez-en davantage en vous inscrivant à notre essai gratuit.

Partager l'article

Publications connexes

Tout voir
06.12.2026

Ransomware-as-a-Service : d’anciens de LockBit lancent des programmes concurrents alors que l’écosystème se consolide au premier trimestre 2026

En savoir plus
06.12.2026

5 sessions à ne pas manquer à Identiverse 2026 (dont 2 sur l'avenir de l'identité IA)

En savoir plus
06.10.2026

La préhistoire des plateformes de garantie en langue chinoise

En savoir plus