Il faudra particulièrement les avoir à l’œil en 2023 : ces groupes de ransomware émergents, dont notre cellule de CTI vous dresse la liste, promettent de continuer à faire des dégâts ces prochains mois.
1. Royal
Ce groupe, repéré en septembre 2022 par des chercheurs en cybersécurité semble issu d’une des nombreuses scissions de Conti, ce qui peut expliquer leur immédiate efficacité notamment sur la fin d’année et en ce début d’année 2023. Comme de nombreux autres cyber acteurs malveillants, il utilise principalement le spear phishing en initial access et des copies de sites web légitimes via Google Ads afin de distribuer leur malware.
Avec plus de 90 attaques revendiquées à leur compteur sur l’exercice 2022, c’est un groupe extrêmement actif, donc à surveiller étroitement.
2. Play
Aussi connu sous le nom de PlayCrypt, ce groupe a été identifié en juin 2022 sur Bleeping computer forums, et a en quelques mois déjà bien fait parler de lui. En effet, on dénombre déjà plus de 40 attaques à son actif, parmi lesquelles la Cour de justice de la province de Cordoba, en Argentine, la chaîne d’hôtels allemande H-Hotels, ou encore, le conseil départemental des Alpes-Maritimes dans la nuit du 09 au 10 novembre 2022.
Pour ne pas déroger à la règle, Play utilise le phishing, des credentials compromis ainsi que des serveurs RDP mal configurés.
3. Vice
Actif depuis le milieu de l’année 2021, Vice, aussi connu sous le nom de Vice Society, est un groupe qui ne perd pas son temps puisqu’il revendique déjà pas moins de 145 cyberattaques.
La cellule de CTI de Palo Alto les a même qualifiés de cyber groupe malveillant le plus influent de 2022, et leur dynamique n’est pas près de s’arrêter. Vice est connu pour s’attaquer principalement aux groupes scolaires tels que les universités, ainsi qu’aux organismes de santé. Il semblerait que Vice, qui utilisait auparavant des malwares communs pour ses opérations tels que Zeppelin ou HelloKitty, ait depuis développé son propre logiciel : PolyVice.
4. BlackByte
Apparu à l’été 2021, BlackByte a fait l’objet d’un rapport l’année dernière du FBI et de la CISA le mettant sous les cyber-projecteurs. Avec plus de 72 attaques confirmées, dont déjà 7 en 2023, il a su s’imposer parmi ses pairs grâce à une nouvelle version de son malware «Exbyte» et de nombreuses attaques sur le sol américain, en particulier sur l’équipe de football des San Francisco 49ers.
Dans la continuité des autres acteurs malveillants, il possède une appétence pour le phishing ainsi que pour l’utilisation de vulnérabilité sur Exchange et ne se prive pas d’utiliser RDP. Moqueur, le groupe vient d’ailleurs de publier gratuitement les données de ses trois dernières victimes pour fêter la nouvelle année.
5. Lorenz
Bien qu’apparu courant 2021, Lorenz a su récemment tirer son épingle du jeu en utilisant une vulnérabilité dans Mitel MiContact, qui lui a permis d’installer un backdoor en toute discrétion dans le système de ses victimes.
Aussi, des mois plus tard, et ce malgré la vulnérabilité patchée entretemps, Lorenz est parvenu à s’y introduire à nouveau tel un agent dormant, puis à exfiltrer les données. Cette stratégie d’attaque novatrice remet en question la façon dont nous protégeons nos SI.
Lorenz comptabilise déjà en 2023 plus d’une dizaine de victimes.
6. Bonus : Et bien sûr Conti et ses rejetons et LockbitBlack/3.0…
Impossible de conclure dignement ce top sans évoquer les leaders sur le marché du RaaS (Ransomware as a service). Ces deux acteurs malveillants sont loin d’être novices dans le milieu au regard de leur puissance de frappe (1325 attaques attribuées à Lockbit et 674 pour Conti).
Concernant Lockbit, ils en sont à leur 3e itération, sobrement nommée Lockbit Black, le code de la version 2 ayant été révélé quelques mois plus tôt. Quant à Conti, de récentes dissensions au sein du groupe ont donné naissance à trois nouvelles entités à suivre de très près : ScareCrow, BlueSky et Meow.
Sur LinkedIn :
Article publié le 31 janvier 2023