Conti détrôné par LockBit. D’après le fournisseur de solutions de cybersécurité NCC Group, ce dernier est responsable de 33% des attaques de ransomwares détectées en 2022. Il est impliqué dans 846 attaques au total, soit un accroissement de son activité de 94% par rapport à 2021. Le groupe a notamment connu un pic d’activité lors du lancement de son ransomware LockBit 3.0 en avril, période durant laquelle il a mené 103 attaques.

L’industrie a été la cible de 33% des attaques de Lockbit (276 attaques), les biens non-essentiels, comme les produits de luxe, de 20% d'entre elles (168) et la technologie de 9% (79). Au sein même de l’industrie, les secteurs les plus touchés étaient les services commerciaux (16% des attaques), la construction et l’ingénierie (7%), ainsi que l’hôtellerie et le divertissement (5%). "Avec une telle présence dans le domaine, Lockbit détient une influence majeure sur l'ensemble des modèles de ciblage sectoriel et industriel observés", pointe NCC Group.

Une "occupation du terrain" qui pourrait encore faire des ravages parmi la concurrence : "Si le groupe continue sur cette voie, nous pourrions assister à des disparitions similaires à celles des acteurs majeurs précédents (REvil, Darkside, et Conti) dans le but d'éviter des poursuites judiciaires, ou peut-être à un rebranding avec de nouvelles infrastructures et capacités", imagine RCC Group.

Conti également supplanté par BlackCat

Conti, lui, n’est responsable "que" de 7% des attaques, contre 21% en 2021. Le groupe affilié à la Russie n’a en outre pas mené d’attaques au second semestre 2022... à moins qu'elles ne soient restées sous les radars de NCC. "Cette réduction de l'activité a coïncidé avec l'introduction du nouveau groupe BlackBasta, que l'on croit associé à – ou remplaçant de – Conti", qui s’est séparé en mai, souligne le spécialiste de la cybersécurité dans son bilan annuel. Le groupe a également été affaibli par la révélation en août par les Etats-Unis d’informations personnelles et même de photos de certains de ses membres.

En dépit de la perte de sa première place, Conti a néanmoins trouvé les moyens pour faire parler de lui l’an passé : en avril, il a par exemple attaqué avec succès le gouvernement du Costa Rica, qui fut contraint de déclarer l’état d’urgence. A noter que LockBit n’est pas le seul groupe de pirates à avoir dépassé Conti puisque BlackCat, connu pour ses attaques en septembre contre des infrastructures énergétiques italiennes, allemandes et luxembourgeoises, a représenté 8% des attaques surveillées par NCC Group en 2022.

Les campagnes d’espionnage étatiques en hausse

L’émergence de LockBit en lieu et place de Conti ne signifie pas pour autant une explosion de l’usage des ransomwares : selon le rapport, les attaques au moyen de rançongiciels ont diminué de 5% en 2022, pour un total de 2 531 attaques. Une baisse "probablement due en partie à une réponse collaborative de plus en plus dure de la part des gouvernements et des forces de l'ordre, et bien sûr à l'impact mondial de la guerre en Ukraine", fait remarquer le rapport, qui appelle donc à ne pas baisser la garde. Etats-Unis et Royaume-Uni ont ainsi pris des sanctions début février contre sept hommes soupçonnés d’être impliqués dans le groupe de pirates Trickbot, basé en Russie.

L’invasion de l’Ukraine par la Russie occupe un chapitre entier du rapport. Les campagnes de désinformation ou les cyberattaques contre les infrastructures énergétiques ukrainiennes ne sont pas le "cybergeddon" redouté par certains, admet NCC Group, mais "la cyberguerre a prouvé qu’elle était un élément essentiel dans ce champ de bataille hybride."

Le fournisseur de cybersécurité relève que les campagnes d’espionnage menées par des Etats sont en augmentation depuis le début de la guerre, et "qu’elles n’ont pas été limitées à l’activité russe". NCC Group a par exemple identifié de telles campagnes conduites par la Chine à l’encontre des Occidentaux ou de pays d’Asie, tandis que la Chine a déclaré faire elle-même l’objet de campagnes d’espionnage par les Etats-Unis.