Le dernier rapport mensuel de cybersécurité de NCC Group fait ressortir le déclin de Conti, l'un des plus redoutables cybergangs dans le domaine des ransomwares de ces dernières années. Stoppé par les actions conjointes de forces de police et de justice, mais aussi par les dissensions internes liées à la guerre en Ukraine, ce groupe de cybercriminels d'origine russe a donc vu ses activités frappées en plein coeur. Avec pour conséquence une baisse significative des attaques par rançongiciels recensée par NCC Group dans son dernier rapport Threat Pulse de mai 2022. Sur ce mois en effet, 236 attaques par ransomware ont été observées soit une baisse de 18% par rapport aux 289 d'avril 2022. « Une baisse d'activité peut être le résultat du retrait de Conti, basé en Russie, de la scène des ransomwares, ainsi que de sa collaboration avec des groupes plus petits, dont Black Basta et Hive », ont expliqué les chercheurs en sécurité.

Les secteurs les plus ciblés en mai ont été ceux de l'industrie, représentant quelque 31 % des attaques de ransomwares, suivi par celui du retail (22 %) et de l'IT(12 %). L'équipe de renseignement sur les menaces de NCC Group indique qu'il est probable que les industriels resteront le secteur le plus ciblé. « Le nombre diversifié d'organisations qui y opèrent en fait une cible attrayante pour les gangs de rançongiciels, qui cherchent à compromettre les chaînes d'approvisionnement des entreprises », analysent les chercheurs. A noter qu'en avril dernier, NCC Group avait analysé 46% d'attaques émanant des Etats-Unis contre 33% en Europe.

La relève de Conti assurée ?

Autre impact lié à l'arrêt de Conti : la retour de Lockbit 2.0 en tant que principale menace ransomware avec 95 victimes au compteur, soit 40% du total des attaques identifiées par NCC Group. « Parmi les autres groupes les plus importants, Black Basta et Hive étaient tous deux responsables de 17 attaques (7%). Black Basta est apparu pour la première fois en avril et, en mai, NCC Group a découvert l'utilisation par le groupe du logiciel malveillant Qbot pour infecter les systèmes et accéder aux informations d'identification du domaine Windows », indiquent les chercheurs.

Le retrait de Conti pourrait donc déboucher sur la recrudescence des activités de plusieurs sous-groupes agissant sous différents noms dont Black Basta et Hive mais aussi KaraKurt et Black Byte. Les chercheurs en sécurité de NCC Group soupçonnent d'ailleurs les deux premiers de travailler aux côtés de Conti ou d'agir en tant que successeur.