Le rapport annuel « Threat Monitor » de NCC Group fait ressortir une légère diminution des attaques par ransomware en 2022. 2531 attaques ont été observées à travers son service MDR (Managed Detection & Reponse) et par son équipe mondiale de réponse aux cyberincidents (CIRT). Soit une baisse de 5% par rapport aux 2667 attaques répertoriées en 2021. Le spécialiste de la cybersécurité y voit le résultat d’une réponse plus coordonnée et plus ferme des autorités, qui a permis de neutraliser les activités de certains groupes malveillants.
Mais les tensions géopolitiques ont apporté leur lot de nouvelles turbulences dans le paysage des menaces. NCC a observé une augmentation notable des attaques entre février et avril, coïncidant avec le début de l’offensive russe en Ukraine, période pendant laquelle Lockbit a intensifié son activité. Les actions du groupe ont culminé en avril avec 103 attaques, peu avant qu’il lance son logiciel de ransomware LockBit 3.0.
Responsable à lui seul du tiers des attaques par ransomware de 2022, Lockbit s’impose de loin comme le groupe de cybercriminels le plus actif. Il est impliqué dans 846 attaques, 94% de plus que l’année précédente. Il supplante Conti, groupe affilié à la Russie et responsable de 21% des attaques en 2021 mais dont l’activité a chuté l’an dernier à 7%. Blackcat apparait comme la franchise émergente avec 8% des attaques, 18 attaques par mois en moyenne mais 30 pour le seul mois de décembre 2022.
Les secteurs les plus ciblés par ces groupes sont ceux de l’industrie (32%), du retail (20%) et de l’IT (10%), confirmant les mêmes priorités que les années précédentes. Dans le secteur IT, les éditeurs de logiciels et les fournisseurs de services informatiques sont particulièrement visés, avec à la clé du vol de propriété intellectuelle et l’utilisation des entreprises victimes pour compromettre les chaines d’approvisionnement.
Au niveau géographique, l’Amérique du Nord est la plus touchée (44%), même si le nombre d’incidents régresse de 24% sur un an. L’Europe vient en seconde position (35%), avec une augmentation de 11% du nombre d’attaques.
En plus des armes du chiffrement et de la fuite de données, NCC Group relève le recours croissant aux attaques par déni de service (DDoS) pour accentuer la pression sur les entités ciblées. Plus de 230 000 événements DDoS ont été observés en 2022.
En plus des ransomwares, NCC alerte sur les attaques par compromission des e-mails professionnels, qui représentent 33% de tous les incidents observés par son équipe de réponse aux cyberincidents (CIRT).
« En 2023, nous nous attendons à ce que les acteurs malveillant concentrent leur attention sur la compromission des chaînes d’approvisionnement, le contournement de l’authentification multifacteur (MFA) et l’exploitation des API mal configurées », mettent en garde pour conclure les auteurs du rapport.