Etats-Unis : Les 10 groupes d’attaquants par rançongiciels les plus actifs dans le secteur de la santé

Ce travail s’appuie sur 730 attaques par rançongiciel dans le monde ayant ciblé des entités du secteur de la santé au cours des 6 derniers mois, dont 530 aux USA.

1: LockBit 3.0 : le rançongiciel est proposé as-a-Service (RaaS) héritier de LockBit et LockBit 2.0. Le groupe est le plus actif ciblant le HPH américain. Il a récemment été perturbé par l’opération policière internationale Cronos en février 2024. Cependant, ses développeurs n’ont pas été arrêtés et le groupe LockBit pourrait revenir. 

2: ALPHV alias BlackCat : groupe d’attaquants connu pour être le premier à utiliser le langage de programmation Rust pour son rançongiciel. Le groupe BlackCat vient de se disperser depuis le 05 mars 2024, et a mis son code source en vente pour 5 millions de dollars.

3 : BianLian : connu pour son agilité et son évolution rapide dans ses tactiques, techniques et procédures (TTP).

4 : Akira : identifié pour la première fois en mai 2023, des recherches font l’hypothèse de connexions avec le groupe d’attaquants Conti. Le CERT Santé alertait sur l’émergence de ce groupe dans un bulletin d’actualité en septembre 2023.

5 : BlackSuit : Découvert début mai 2023, le rançongiciel déployé par BlackSuit présente des similitudes significatives avec la famille de rançongiciels Royal.

Les groupes Hunters International, Medusa, NoEscape (auto-dissous depuis décembre 2023), INC RANSOM et Meow occupent les 5 dernières places. Le rapport insiste sur le fait que presque tous ces acteurs de la menace utilisent l’hameçonnage comme vecteur d’accès initial.

Il est également intéressant de noter que 3 des groupes de ce top 10 ont fait l’objet de saisies de leurs infrastructures, mettant un terme à l’activité de certains et pour d’autres un retour probable dans les prochains mois.

Pour rappel, l’ANS met à disposition des organisations de santé une fiche réflexe de gestion préventive du risque représenté par les rançongiciels.