En 2024, la menace ransomware frappe plus fort que jamais. Ce qui n’était autrefois qu’un outil utilisé par des groupes de hackers organisés est devenu un service à la portée de tous.
En cause : le développement du Ransomware-as-a-Service, où des cybercriminels sans grandes compétences peuvent désormais louer ces outils sur le darknet. Les conséquences ? Des attaques plus fréquentes et plus violentes, touchant aussi bien les petites entreprises que les infrastructures critiques.
En France, la situation devient préoccupante. Selon une étude récente de Sophos, 74 % des entreprises ont été victimes d’une attaque par ransomware cette année, contre 64 % en 2023. Les hackers exploitent les failles dans les systèmes de sécurité et s’appuient sur le manque de formation des employés pour s’infiltrer.
Pour mieux comprendre ce type de menace, voici la liste des 10 ransomwares les plus dangereux en 2024.
Les 10 ransomwares les plus dangereux en 2024
Certains ransomwares se démarquent par l’ampleur des dégâts qu’ils causent et la fréquence de leurs attaques. Voici un aperçu des 10 ransomwares les plus dangereux qui continuent de frapper entreprises et institutions.
1. LockBit
LockBit 3.0, aussi connu sous le nom de LockBit Black, est une version améliorée du ransomware LockBit, qui est actif depuis 2019.
Ce ransomware se distingue par son modèle de Ransomware-as-a-Service (RaaS), où les développeurs du malware louent leur logiciel à des affiliés, en échange d’une part des rançons extorquées. Cette nouvelle version propose une plateforme de rançons décentralisée, intègre des options pour chiffrer des fichiers spécifiques et offre même un programme de bug bounty, encourageant les hackers à signaler des failles pour améliorer le malware.
En 2022, on estimait que LockBit avait extorqué plus de 100 millions de dollars. D’après plusieurs analyses, près de 44% des attaques de ransomware au cours de l’année 2023 ont été attribuées à cette famille. Ses victimes incluent des entreprises du secteur de la santé, des gouvernements, et des organisations financières dans le monde entier.
Les analystes de la cybersécurité ont noté une montée des attaques contre les petites et moyennes entreprises (PME), considérées comme plus vulnérables. LockBit 3.0 se propage rapidement via des campagnes de phishing, l’exploitation des vulnérabilités dans des logiciels non patchés, et l’utilisation de mots de passe faibles.
2. Clop
Clop est un ransomware sophistiqué, actif depuis 2019, et fait partie de la famille des ransomwares CryptoMix. Ce qui distingue Clop des autres ransomwares est son recours à la technique de double extorsion : en plus de chiffrer les données, les attaquants menacent de les publier si la rançon n’est pas payée, augmentant ainsi la pression sur les victimes.
Clop est connu pour avoir exploité des vulnérabilités dans des logiciels tiers, comme la faille de MOVEit, une plateforme de transfert de fichiers utilisée par de nombreuses entreprises.
Le ransomware a connu une forte augmentation d’activité en 2023, avec plusieurs centaines d’attaques répertoriées sur des secteurs critiques comme la santé, l’éducation, et la finance. L’attaque Clop de 2023 sur la chaîne d’approvisionnement de MOVEit a affecté plus de 2000 organisations dans le monde entier, exposant les données de 95 millions de personnes. Selon des estimations, Clop aurait extorqué des millions de dollars en rançons au cours de ces attaques.
3. Royal
Le ransomware Royal est apparu en 2022 et s’est rapidement imposé dans le paysage des cyberattaques. Contrairement à d’autres groupes de ransomware, Royal semble opérer de manière indépendante, sans recourir à un modèle de Ransomware-as-a-Service (RaaS). Il cible principalement les grandes entreprises, les infrastructures critiques, et les organismes gouvernementaux. Royal utilise une approche personnalisée dans ses attaques, souvent en accédant au réseau cible via des campagnes de phishing ou en exploitant des failles dans les systèmes mal protégés.
Ce ransomware se distingue par l’utilisation de techniques de chiffrement sophistiquées et une double extorsion : les données des victimes sont chiffrées, et les attaquants menacent de divulguer des informations sensibles si la rançon n’est pas payée. Les montants de rançon exigés varient, mais peuvent atteindre des millions de dollars.
Un exemple marquant est l’attaque de mai 2023 contre la ville de Dallas, au Texas, où les services municipaux, notamment la police, ont été fortement impactés. Des notes de rançon ont même été imprimées à travers les imprimantes des réseaux municipaux, provoquant des interruptions de services essentiels. Ce type d’attaque a paralysé les systèmes de la ville, forçant une réponse rapide des autorités.
4. BlackCat
BlackCat (également connu sous le nom ALPHV) est un ransomware apparu en 2021. Il utilise un modèle de Ransomware-as-a-Service (RaaS), permettant à des affiliés de louer le logiciel pour mener des attaques en échange d’une part des rançons. Ce ransomware se distingue par l’utilisation du langage de programmation Rust, qui le rend plus difficile à détecter et à analyser. BlackCat applique également la double extorsion, chiffrant les données des victimes tout en menaçant de les publier si la rançon n’est pas payée.
Un exemple notable est l’attaque d’avril 2023 contre NCR (National Cash Register), une entreprise américaine spécialisée dans les solutions de paiement. Cette attaque a perturbé la plateforme Aloha POS utilisée par de nombreux restaurants, bloquant les terminaux de paiement pendant plusieurs jours. De plus, en septembre 2023, BlackCat a frappé les chaines d’hotels et casinos Caesars et MGM, entraînant des perturbations majeures dans les systèmes informatiques et les machines à sous.
5. Wiper Ransomware
Le Wiper ransomware est une variante de malware conçue pour non seulement chiffrer les données des victimes, comme les ransomwares traditionnels, mais aussi pour détruire les fichiers de manière irrécupérable, même si la rançon est payée. Contrairement aux ransomwares habituels, où les attaquants offrent une option de déchiffrement en échange d’une rançon, les wipers sont principalement destructifs et souvent utilisés pour saboter plutôt que pour extorquer.
En 2023, l’utilisation de wipers a été particulièrement notable dans les conflits géopolitiques, notamment lors des attaques contre des infrastructures critiques en Ukraine. Des wipers comme HermeticWiper et CaddyWiper ont été utilisés pour cibler des entreprises énergétiques et logistiques, rendant impossible toute récupération de données. Ces attaques sont souvent attribuées à des acteurs sponsorisés par des États, comme le groupe Sandworm, qui utilise ces méthodes pour perturber les opérations civiles et militaires.
6. Hive
Le ransomware Hive, apparu en 2021, est un modèle de Ransomware-as-a-Service (RaaS) utilisé par des cybercriminels pour cibler des secteurs critiques comme la santé, les infrastructures publiques, et les services financiers.
Hive opère via des affiliés qui compromettent les systèmes en utilisant des techniques telles que le phishing, l’exploitation de vulnérabilités sur des serveurs comme Microsoft Exchange, et l’utilisation de Remote Desktop Protocol (RDP) pour se propager à travers les réseaux. Une fois installé, Hive chiffre les fichiers et menace de publier les données sur le site HiveLeaks en cas de non-paiement.
En 2022, Hive a attaqué des institutions comme le système de santé Memorial aux États-Unis, forçant les hôpitaux à annuler des opérations et à revenir aux dossiers papier.
En janvier 2023, le FBI, en collaboration avec des agences internationales, a réussi à infiltrer le réseau de Hive, récupérant plus de 1 000 clés de déchiffrement, sauvant ainsi des millions de dollars en rançons. Cela a conduit au démantèlement du groupe, bien que d’autres affiliés continuent d’utiliser ses méthodes.
7. Quantum
Apparu en 2021, Quantum se distingue par sa capacité à prendre le contrôle d’un réseau en moins de quatre heures. Il commence généralement par une infiltration via des emails de phishing ou des vulnérabilités réseau, puis utilise des outils comme Cobalt Strike pour se déplacer latéralement dans le système avant de lancer le chiffrement des données critiques.
En avril 2022, une attaque notable a impliqué Quantum, déployé après l’utilisation d’IcedID comme point d’accès initial. Les attaquants ont utilisé le Remote Desktop Protocol (RDP) et des outils comme PsExec pour propager le ransomware, entraînant un chiffrement rapide et étendu des systèmes cibles.
Quantum cible principalement les grandes entreprises, profitant de failles dans les environnements corporatifs.
8. Play Ransomware
Le ransomware Play, aussi connu sous le nom de PlayCrypt, a émergé en 2022 et s’est rapidement distingué par son modèle de double extorsion. Les attaquants exfiltrent d’abord des données sensibles avant de les chiffrer, menaçant de les publier si la rançon n’est pas payée.
Les victimes reçoivent une note de rançon avec des instructions de contact via des adresses e-mail spécifiques, et les paiements se font généralement en cryptomonnaie.
Un exemple marquant est l’attaque contre le gouvernement de Córdoba, en Argentine, en août 2022, qui a paralysé les services gouvernementaux pendant plusieurs jours. D’autres victimes notables incluent des entreprises dans le secteur des infrastructures critiques et de la santé, en Europe et aux Amériques.
En 2023, le groupe Play s’est classé parmi les acteurs les plus actifs, avec plus de 110 attaques documentées au quatrième trimestre selon Cyberint, ce qui en fait l’un des groupes les plus prolifiques derrière LockBit. Parmi les outils utilisés par Play, on trouve AdFind et Cobalt Strike, qui facilitent la découverte du réseau et le déplacement latéral, rendant leurs attaques particulièrement difficiles à détecter et à bloquer.
9. Black Basta
Utilise en modèle RaaS, Black Basta est particulièrement redouté pour sa méthode de double extorsion.
En 2023, Black Basta a frappé plus de 500 organisations à travers le monde, y compris des infrastructures critiques comme les secteurs de la santé et de l’énergie. Par exemple, l’attaque contre ABB, une entreprise multinationale suisse spécialisée dans l’automatisation et les systèmes de contrôle, a gravement perturbé ses opérations et a retardé plusieurs projets.
Les tactiques de Black Basta incluent l’exploitation de failles connues comme ZeroLogon et PrintNightmare pour l’escalade de privilèges. Ils utilisent également des outils comme Cobalt Strike pour se déplacer latéralement dans les réseaux et Rclone pour exfiltrer les données vers des serveurs externes.
10 Ragnar Locker
Le ransomware Ragnar Locker, actif depuis 2019, s’est fait connaître par ses attaques ciblant principalement les infrastructures critiques, notamment dans les secteurs de l’énergie et de la santé. Ragnar Locker est connu pour exploiter les failles de sécurité des systèmes Windows, notamment via Remote Desktop Protocol (RDP), pour obtenir un accès initial aux réseaux.
En 2022 et 2023, Ragnar Locker a intensifié ses attaques, notamment contre des infrastructures en Europe et aux États-Unis. Un exemple majeur est l’attaque contre DESFA, l’opérateur grec de transmission de gaz naturel, en août 2022, qui a perturbé son réseau et ses opérations (Europol). En octobre 2023, les autorités internationales ont réussi à démanteler le groupe, arrêtant plusieurs membres et saisissant leurs serveurs.
Malgré cette victoire pour les forces de l’ordre, Ragnar Locker avait déjà attaqué plus de 50 entités critiques aux États-Unis, selon le FBI, et son mode opératoire a inspiré d’autres groupes de ransomware.
L’essentiel
Les ransomwares ne sont plus simplement l’outil des experts du cybercrime, mais un marché en pleine expansion où même les amateurs peuvent s’inviter.
Des logiciels comme LockBit, Clop ou BlackCat ont redéfini les règles du jeu, multipliant les attaques ciblant aussi bien les infrastructures critiques que les PME, souvent sans défense.
Si certaines opérations policières, comme celle contre Hive, ont marqué des victoires temporaires, la prolifération des groupes comme Royal ou Ragnar Locker montre que la menace persiste et s’adapte.
À l’heure où chaque donnée devient une monnaie d’échange, l’enjeu pour les entreprises n’est plus seulement de payer ou non la rançon, mais d’anticiper la prochaine attaque.
