Un rapport publié par UNIT 42, la division de recherche de Palo Alto Networks, révèle que six groupes de ransomware sont responsables de 53 % de toutes les attaques mondiales. L’analyse de 53 sites dits « de fuite » utilisés par les cybercriminels pour publier des données volées montre qu’au premier semestre 2024, quelque 1.762 nouvelles publications ont été répertoriées, soit une hausse de 4 % par rapport à l’année précédente.

Des scorpions agressifs

En réalité, six groupes de ransomware sont à l’origine de la moitié des attaques mondiales sur 53 groupes actifs. 
Parmi ceux-ci, on retrouve Flighty Scorpius, opérant avec le ransomware LockBit 3.0, ainsi que Fiddling Scorpius (avec Play), Squalid Scorpius (avec 8Base), Howling Scorpius (avec Akira), Dark Scorpius (avec BlackBasta) et Transforming Scorpius (avec Medusa). 
La majorité de ces groupes entretiennent des liens étroits avec la Russie. Le gouvernement américain offre d’ailleurs une récompense de 10 millions de dollars pour toute information menant à l’arrestation de Dmitry Khoroshev, alias LockBitSupp, supposé leader de Flighty Scorpius.

« Les hackers adoptent souvent une approche opportuniste, mais ils privilégient des secteurs où l’impact d’une interruption peut être dévastateur. L’industrie manufacturière reste la cible principale, représentant 16 % des attaques au premier semestre 2024. Le secteur de la santé, quant à lui, connaît une augmentation marquante, avec 10 % des attaques. La construction ferme le podium avec 9 % des attaques », explique le rapport.

La Belgique dans le viseur

Si les États-Unis concentrent près de la moitié des attaques mondiales (52 %), les cybercriminels ne s’arrêtent certainement pas là. Le Canada (6 %) et le Royaume-Uni (5 %) font également partie des cibles fréquentes. Fait notable, la Belgique se classe dans le Top 10, avec 21 attaques répertoriées, représentant 1 % des incidents mondiaux pour cette première moitié de l’année.

Les chercheurs de Palo Alto Networks ont épluché 1.762 publications sur les sites de fuite sur le dark web durant le premier semestre 2024. Ces données volées sont souvent mises en ligne par les groupes de ransomware pour exercer une pression supplémentaire sur leurs victimes. Toutefois, il est à noter que toutes les victimes ne figurent pas sur ces plateformes, ce qui introduit une marge d’erreur dans les résultats.