Point sur les menaces : Les Rançongicielss d'extorsion de données

05 mars
Un fond bleu marine avec le texte blanc « Menaces de Rançongiciels d'extorsion de données »

Ces dernières années, le paysage des rançongiciels a considérablement évolué. Entre 2022 et 2023, les attaques par rançongiciel ont augmenté de plus de 100 % par rapport à l'année précédente, avec une augmentation des attaques impliquant une double, voire une triple extorsion. De manière générale, les rançongiciels peuvent être classés comme suit :

  • Première extorsion: le vol de données sensibles ou leur extraction des systèmes
  • Deuxième extorsion: publier des données sensibles pour exercer une pression supplémentaire en les exposant sur le dark web
  • Troisième extorsionToutes les autres techniques de pression sur les organisations pour obtenir des rançons, y compris le ciblage des employés et de leurs informations personnelles, envoi de courriels d'extorsion aux patients, ou en exposant les listes de fichiers 

Les attaques modernes par rançongiciel ne sont plus le fait d'un individu isolé derrière son ordinateur. Elles proviennent d'un écosystème complexe de type « rançongiciel en tant que service » (RaaS) qui comprend :

  • Groupes de rançongiciels: groupes criminels organisés spécialisés dans la création, la distribution et l'extorsion de rançongiciels
  • Affiliés: des tiers partageant les bénéfices potentiels
  • Courtiers d'accès initial (IAB): des acteurs malveillants vendant des identifiants volés ou d'autres moyens d'accéder aux systèmes cibles

Tendances actuelles en matière de Rançongiciels

Alors que les équipes de défense s'efforcent d'atténuer les risques, il devient plus difficile d'aller au-delà des données de base fournies par les flux de renseignements sur les menaces. Si ces flux leur apportent des faits, ils ne permettent souvent pas de comprendre les nuances liées au mode de pensée des acteurs malveillants et au fonctionnement de ces systèmes. 

Shifting Targets

De plus en plus, des acteurs malveillants ciblent les infrastructures critiques de l'OTAN et de ses alliés, généralement les pays d'Europe occidentale et les États-Unis. À titre d'exemple, les États-Unis ont été responsables d'environ :

  • 33 % des victimes de Rançongicielss
  • 33 % des publications de l'IAB

Si l'on considère les écosystèmes dans leur ensemble, 50 à 60 % des publications sur l'IAB et des attaques de Rançongiciels ciblent l'Europe occidentale et les États-Unis. 

Une analyse de plus de 450 publications IAB et de 3000 attaques de Rançongiciels a révélé qu'une seule avait touché un pays de la Coalition des États indépendants, qui comprend la Russie et d'anciens États soviétiques toujours alliés à elle, comme l'Azerbaïdjan, le Kazakhstan et le Bélarus. 

Les trois principaux groupes de Rançongiciels

Les trois groupes de Rançongiciels suivants et leurs réseaux affiliés sont à l'origine de l'augmentation des attaques :

  • Bit de verrouillage : Modèle RaaS avec un grand nombre d'affiliés non liés entre eux dont les tactiques, techniques et procédures (TTP) d'attaque varient considérablement
  • Clop (Cl0P) : Groupe et variante de Rançongiciels en utilisant à la fois des approches de « pulvérisation et de pulvérisation » et des approches ciblées
  • AlphV (Chat noir) : Groupe RaaS plus récent grâce à des techniques avancées d'ingénierie sociale et à la recherche en sources ouvertes sur les cibles afin d'obtenir un accès initial 

Il est important de noter que les affiliés de Rançongiciels ont eu un impact considérable sur le paysage global des attaques. Tout cybercriminel « indépendant » peut acheter le Rançongiciels, de la même manière que les entreprises légitimes achètent des logiciels en tant que service (SaaS). Après s’être abonnés au Rançongiciels, ces acheteurs peuvent :

  • Accéder à l'ensemble d'outils
  • Déployer l'infection
  • Intégrez l'entreprise
  • Exfiltrer les données

Ensuite, le groupe de Rançongiciels intervient pour négocier la rançon avec la victime, et les profits sont partagés. Actuellement, LockBit possède le plus important programme d'affiliation, ce qui lui permet de fournir le virus aux acheteurs puis de se concentrer sur la négociation de la rançon pour ses clients.  

Comprendre l'écosystème des affiliés

L'écosystème des affiliés a transformé les attaques de rançongiciels en un commerce florissant, créant une concurrence entre les groupes de cybercriminels et instaurant des mécanismes d'incitation qui augmentent le nombre d'attaques réussies. Cependant, avec ce nouveau modèle économique, les règles tacites d'autorégulation au sein de l'écosystème criminel semblent évoluer. 

Les règles tacites

Historiquement, les organisations cybercriminelles ont autogéré leurs opérations sur le dark web en suivant quelques règles tacites :

  • Les infrastructures critiques sont interdites d'accès car les attaques attirent l'attention des forces de l'ordre. 
  • Escroquer d'autres acteurs malveillants entraîne une exclusion du forum du dark web. 
  • Ne jamais cibler les entreprises de la Coalition des États indépendants. 

Il est intéressant de noter que ces règles du jeu semblent évoluer à mesure que les groupes de Rançongiciels rivalisent pour fidéliser leurs affiliés et accroître leurs profits.

BlackCat : Éliminer les limites

Historiquement, les organisations cybercriminelles s'efforçaient de limiter le nombre d'attaques menées par leurs affiliés contre les infrastructures critiques, telles que les hôpitaux ou les centrales électriques. Cependant, en décembre 2023, le FBI a compromis une partie de l'infrastructure de BlackCat, perturbant ainsi les activités du groupe. 

En réponse, BlackCat a publié un message à l'intention de ses affiliés qui, de fait, déclarait la guerre aux États-Unis et à l'Europe occidentale. Ce message leur donnait tacitement l'« autorisation » de cibler tout type d'entreprise, quel que soit son secteur d'activité. Au lieu de rompre les liens avec les affiliés qui ciblent le secteur des infrastructures critiques, BlackCat les y encourage désormais tacitement, étendant ainsi le champ d'action de ses opérations. 

L'attaque AN-Security : un récit édifiant sur un écosystème complexe et concurrentiel

Récemment, un individu malveillant a publié sur un forum du dark web une annonce proposant à la vente 5 To de données issues d'une attaque de Rançongiciels ciblant AN-Security. Il affirmait que ces données contenaient des informations financières, des documents confidentiels, ainsi que des données d'infrastructure et de réseau de clients. L'annonce avait initialement été diffusée sur RAMP, un petit forum du dark web à écosystème fermé, mais l'individu a été banni en moins de six heures. Il a ensuite publié son annonce sur des forums plus importants, notamment le forum russophone XSS, ce qui lui a valu un nouveau bannissement. 

Bien que cela puisse sembler banal pour ce genre de forums, le déroulement des événements présente quelques anomalies :

  • Coalition ciblée d'États indépendants : AN-Security se présente comme étant située à Dubaï, Saint-Pétersbourg et Moscou, une région géographique généralement considérée comme inaccessible.  
  • Demande de paiement élevéeL'acteur a demandé 100 bitcoins, soit environ 4.3 millions de dollars, alors que les transactions se vendent généralement à des dizaines de milliers de dollars.
  • Lien vers une fausse informationLe site Cybernewsint.com a été enregistré le mois dernier et ne contenait que cet article.
  • Savoir d'initiéL'acteur était un vétéran qui savait que ces annonces seraient interdites. 
  • Taille des données réduiteLa taille de la fuite a diminué de 1 To entre le premier message sur RAMP et le dernier message sur les forums de brèche.
  • Messages supplémentaires du forum DarkAprès la publication initiale, une série de publications de suivi entre les deux publications du compte « officiel » de LockBit, avec une copie de la note de rançon et une discussion sur les acteurs originaux potentiels essayant de « piéger » LockBit.

En substance, les deux acteurs malveillants suivent le même type de « drame » de forum numérique que l'on retrouve sur le web classique, en créant des messages qui alimentent des échanges argumentatifs. 

Forums du Dark Web : Résolution des litiges sans passer par les tribunaux 

Les plateformes d'accès à Internet (IAB), les groupes de Rançongiciels et leurs affiliés créent un réseau illégal complexe de partenariats commerciaux interconnectés, parallèle à ceux établis par les entreprises légitimes et leurs programmes partenaires. Par exemple, de nombreux groupes de Rançongiciels entretiennent des relations avec des IAB. L'IAB fournit les données d'accès initiales, que le groupe de Rançongiciels peut ensuite proposer à ses affiliés dans le cadre de leur abonnement. Ces ventes ne transitent jamais par les forums, mais uniquement par des services de messagerie chiffrée, offrant ainsi aux affiliés l'avantage de données « exclusives » grâce à leur partenariat. 

Cependant, contrairement aux entreprises légitimes, ces organisations clandestines ne disposent d'aucun recours légal en cas de rupture de contrat. Elles portent donc souvent ces litiges sur les forums du dark web dans l'espoir de les résoudre en ligne. 

Peu après l'incident LockBit/AN-Security, un membre d'un groupe de sécurité indépendant (IAB) a signalé sur XSS que le groupe de Rançongiciels avait fourni à ses affiliés les informations d'accès initiales sans toutefois verser la rançon convenue. LockBit a rétorqué avoir accepté de payer un pourcentage des rançons plutôt qu'un paiement direct et immédiat, précisant qu'il était nécessaire de valider les données de l'IAB avant tout versement. 

Dans le monde des affaires, ce type de désaccord serait porté devant les tribunaux civils pour rupture de contrat. Cependant, ces organisations criminelles n'ont aucun moyen de faire respecter ces accords légalement ; elles ont donc mis en place un système d'autorégulation sur les forums du dark web. Dans ce contexte, lockBit s'est retrouvé banni des activités XSS, au moins temporairement. 

L'avenir proche des Rançongicielss

Face à l'évolution constante du paysage des Rançongicielss, les prévisions à court terme offrent davantage d'éclairage que celles à long terme. 

Perturbation du marché

Actuellement, le nombre de cybercriminels reste stable, ce qui signifie que le nombre de groupes pourrait ne pas augmenter même si le nombre d'attaques augmente. Le marché actuel des rançongiciels est similaire aux marchés illicites de 2017, avec des groupes bien établis et de nouveaux acteurs cherchant à s'y implanter. Il est fort probable que les leaders du marché des rançongiciels évoluent et que des organisations plus petites commencent à étendre leurs activités. 

Évolutions de la communication

Comme pour toute activité, la technologie modifie la façon dont les cybercriminels communiquent. Les forces de l'ordre sont devenues plus efficaces pour traquer les cybercriminels sur le dark web, ce qui a entraîné des perturbations à grande échelle comme les récentes attaques. Saisies et arrestations de serveurs LockBitSi les forums du dark web, comme RAMP et XSS, ont historiquement joué un rôle important, Telegram dispose d'un potentiel de marché plus vaste grâce à un anonymat accru. Son modèle distribué complique le travail des forces de l'ordre, ce qui en fait un canal de communication plus efficace pour les cybercriminels.

Écosystème de plus en plus spécialisé

La coordination au sein de l'écosystème cybercriminel permet aux acteurs malveillants de collaborer plus efficacement, de concevoir des attaques plus sophistiquées et d'accroître leurs profits. Par exemple, les acteurs malveillants spécialisés dans la création de logiciels de vol d'informations peuvent les vendre à ceux spécialisés dans les infections. À partir de là, les intermédiaires d'accès initiaux achètent les journaux de vol d'informations monétisés et revendent cet accès au groupe de Rançongiciels qui le transmet à ses affiliés. En collaborant, ces différents acteurs criminels peuvent ainsi tirer parti de concepts commerciaux classiques, tels que les économies d'échelle et la spécialisation des rôles. 

Comment Flare peut aider à la surveillance de l'exposition aux Rançongicielss dans la chaîne d'approvisionnement

La fusée Gestion de l'exposition aux menaces (TEM) La solution permet aux organisations de détecter, hiérarchiser et atténuer de manière proactive les types d’expositions couramment exploitées par les acteurs de la menace. Notre plateforme analyse automatiquement le Clear & Dark Web et les canaux Telegram illicites 24h/7 et XNUMXj/XNUMX pour découvrir des événements inconnus, hiérarchiser les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité.

Avec la solution de surveillance de l'exposition aux Rançongicielss de Flare Supply Chain, bénéficiez d'une visibilité unique et d'une sécurité proactive sur l'ensemble de votre chaîne d'approvisionnement étendue afin d'atténuer efficacement les risques liés aux fuites de données dues aux Rançongicielss. Pour en savoir plus, inscrivez-vous à notre service. essai gratuit.

Partager l'article

Publications connexes

Tout voir
06.12.2026

Ransomware-as-a-Service : d’anciens de LockBit lancent des programmes concurrents alors que l’écosystème se consolide au premier trimestre 2026

En savoir plus
06.12.2026

5 sessions à ne pas manquer à Identiverse 2026 (dont 2 sur l'avenir de l'identité IA)

En savoir plus
06.10.2026

La préhistoire des plateformes de garantie en langue chinoise

En savoir plus