Ransomware RAPPORD 2024 | Sombre

Lucas Morel

L’une des plus grandes menaces auxquelles sont confrontés les organisations du point de vue de la cybersécurité est le ransomware. En 2024, le paysage des ransomwares a connu des changements importants, marqués par l’émergence de nouveaux acteurs de menace, des attaques de haut niveau et des tactiques en évolution. Mais ce qui est resté cohérent, c’est la tendance à la hausse des organisations qui ont été victimes de ce type d’attaque.

Dans ce blog, nous passons en revue les groupes de ransomware qui étaient les plus actifs et les attaques de ransomware les plus importantes de 2024.

Ransomhub

Le groupe RansomHub est apparu pour la première fois en février 2024, avec une annonce sur la rampe du forum russe. Un utilisateur nommé «Koley» a fait cette annonce et a invité d’autres à rejoindre son programme d’affiliation.

Figure 1: Source: Darkowl Vision

RansomHub est rapidement devenu l’un des groupes de ransomware les plus actifs, réclamant 593 victimes d’ici la fin de l’année. Le groupe exploite un modèle Ransomware-as-a-Service (RAAS), ciblant plusieurs plates-formes, y compris Windows, Linux et ESXi.

Le programme d’affiliation de RansomHub a été prolifique sur la prise de groupes établis, tels que Lockbit, dans le nombre de victimes qu’ils ont. Notamment, RansomHub était responsable d’une violation importante du système de paiement des soins de santé américain en 2024.

Verrouillage

Malgré des perturbations importantes dues à l’opération Cronos en février 2024, les affiliés de Lockbit ont réussi à exécuter un nombre substantiel d’attaques, maintenant leur présence dans l’écosystème des ransomwares. Bien que l’accès à leur site ait été inégal, le groupe a indiqué qu’il lancerait Lockbit4.0 et a demandé aux gens de rejoindre leur programme d’affiliation.

Figure 2: Site de fuite de verrouillage

Jouer

Actif depuis juin 2022, Play a intensifié ses opérations en 2024, avec 362 victimes revendiquées au cours de l’année. Le groupe est connu pour exploiter les vulnérabilités dans des logiciels largement utilisés, tels que Fortinet, Citrix et ESXi de VMware, pour obtenir un accès initial aux systèmes cibles. Ce groupe a poursuivi ses opérations agressives, doublant son nombre de victimes d’une année à l’autre et garantissant sa position comme l’un des trois groupes de ransomware les plus actifs. Cependant, contrairement à de nombreux autres groupes, ils n’offrent pas de ransomwares en tant que service.

Figure 3: Jouez le site de la fuite

Akira

Débutant en mars 2023, Akira est considéré comme un successeur du groupe de ransomwares continu. En 2024, Akira a réclamé 291 victimes, poursuivant son ciblage agressif de diverses organisations. Ils suivent le modèle commercial des ransomwares en tant que service et pratiquent la technique à double expression. L’adversaire semble cibler presque exclusivement des entreprises originaires et opérant aux États-Unis. Ils ont également publié une directive pour frapper les organisations de soins de santé américaines.

Figure 4: site de fuite d’Akira

Changer une attaque de ransomware de soins de santé (février 2024)

Change Healthcare, une filiale de UnitedHealth Group et un important processeur des réclamations médicales américaines, ont subi une attaque de ransomware par le groupe BlackCat (AlphV). La violation a affecté les informations personnelles de plus de 190 millions de personnes, notamment les détails de l’assurance maladie, les dossiers médicaux et les identifiants personnels. La société a payé une rançon de 22 millions de dollars pour récupérer les données. Cette attaque, bien qu’elle ne soit pas liée, a précédé l’assassinat du PDG de l’entreprise. Après l’attaque initiale et une arnaque de sortie de Blackcat, la société a subi une deuxième extorsion du groupe RansomHub.

CDK Global Ransomware Attack (juin 2024)

CDK Global, un fournisseur de logiciels clés pour les concessionnaires automobiles, a connu une attaque de ransomware qui a perturbé les opérations chez des milliers de concessionnaires automobiles aux États-Unis et au Canada. L’entreprise a payé une rançon de 25 millions de dollars à la combinaison du groupe de pirates d’Europe orientale et russe pour restaurer les services.

Blue Yonder (octobre 2024)

Une attaque de ransomware contre Blue Yonder, un grand fournisseur de logiciels, a perturbé les opérations de plusieurs sociétés, dont Starbucks et l’épicerie britannique Sainsbury’s. L’attaque a affecté la capacité de Starbucks à gérer les horaires de barista et à suivre les heures d’ouverture, nécessitant des solutions de contournement manuelles. À la fin de l’année, le groupe de réémergence CL0P a également affirmé avoir piraté l’entreprise.

ALBYN Housing Society Data Breach (août 2024)

Albyn Housing Society, l’un des plus grands organismes de bienfaisance du logement d’Écosse, a été piraté par le gang de ransomware RansomHub. Les données personnelles du personnel et des locataires, y compris les réclamations de paie et de dépenses, ont été divulguées sur le Web Dark. L’attaque a souligné la vulnérabilité des organisations caritatives aux cybermenaces.

Médisesecure (mai 2024)

Un fournisseur de services de prescription électronique australienne a subi une attaque de ransomware menant au vol d’informations personnelles et santé d’environ 12,9 millions d’individus. Il s’agit de la plus grande violation des données de l’histoire de l’Australie.

Décembre 2024 a vu 574 attaques de ransomwares, le total mensuel le plus élevé depuis le début de la surveillance en 2021, indiquant une augmentation alarmante de l’activité. La fin de l’exercice des victimes prélève les tendances que nous prévoyons de voir en 2025, le nombre de victimes ne diminuerait probablement pas, malgré les efforts des forces de l’ordre pour fermer et arrêter les membres de ces groupes.

Cela est dû en partie au fait que les groupes réapparaissent souvent après des mesures d’application de la loi, mais aussi parce que de nouveaux groupes émergent tout le temps. Le nombre de groupes de ransomware actifs a augmenté de 30% en glissement annuel, avec 31 nouveaux groupes entrant dans l’écosystème.

En 2024, les acteurs des ransomwares ont adopté des méthodes plus sophistiquées, notamment l’utilisation de l’intelligence artificielle pour améliorer la précision des attaques et l’émergence de ransomwares hybrides combinant le cryptage traditionnel avec la manipulation des données ou les logiciels malveillants destructeurs.

Ces développements soulignent l’escalade de la complexité et de la fréquence des menaces de ransomware, nécessitant des mesures de cybersécurité robustes, une surveillance et une vigilance du Web sombre au fur et à mesure que nous passons en 2025.


Restez à jour avec les rapports Darkowl. Suivez-nous sur LinkedIn.