L'année 2025 vient à peine de commencer, et les groupes de ransomware ont déjà fait sentir leur présence. Les cybercriminels exécutent des attaques de plus en plus sophistiquées, exploitent des vulnérabilités zéro-day et se tournent vers des modèles d'extorsion innovants. La montée rapide des incidents de ransomware ciblant les infrastructures critiques et les secteurs de haute valeur nécessite une attention immédiate des professionnels de la sécurité.
![État des rançongiciels en 2025 [Trout Report]](https://framerusercontent.com/images/zCViOjHTMVmUonSxKJTYsF6Mk.png?width=1052&height=950)
Content
Résumé Exécutif
L'année 2025 vient à peine de commencer, mais les groupes de ransomware ont déjà fait sentir leur présence. Les cybercriminels exécutent des attaques de plus en plus sophistiquées, exploitant des vulnérabilités de type zero-day, et se tournent vers de nouveaux modèles d'extorsion. La hausse rapide des incidents de ransomware ciblant les infrastructures critiques et les secteurs à forte valeur exige une attention immédiate des professionnels de la sécurité.
Ce rapport examine les principaux groupes de ransomware dominant le paysage, l'évolution de leurs tactiques, et les réponses des forces de l'ordre. Du chantage sans chiffrement de Clop aux exploits en mode sans échec de RansomHub, les attaquants affinent leurs techniques pour échapper à la détection et maximiser les gains. Pendant ce temps, les autorités ripostent, avec des opérations multinationales menant à des arrestations clés et au démantèlement d'infrastructures.
Au-delà de la mise en avant des dernières menaces, ce rapport fournit des stratégies défensives concrètes pour renforcer la résilience en cybersécurité. Les organisations doivent adopter une sécurité multicouche, la segmentation du réseau, et une surveillance proactive des menaces pour anticiper la menace évolutive des ransomwares.
Évolution des logiciels de rançon
Introduction
Au début de 2025, l'activité des logiciels de rançon s'est déjà intensifiée, montrant une augmentation alarmante de la fréquence et de la sophistication. Ce rapport évalue l'état des menaces liées aux rançongiciels, en fournissant un contexte historique, une analyse des tendances récentes et des éclairages statistiques sur le paysage évolutif de l'extorsion cybernétique.
Un logiciel de rançon est un type de logiciel malveillant conçu pour chiffrer les fichiers sur un système cible, les rendant inaccessibles. Les cybercriminels demandent ensuite une rançon en échange des clés de déchiffrement, utilisant souvent des techniques d'extorsion supplémentaires telles que les fuites de données pour accroître la pression sur les victimes.
Contexte historique et évolution des logiciels de rançon
Le premier cas documenté de logiciel de rançon remonte à 1989 avec le Trojan AIDS (PS Cyborg). Cet exemple précoce, créé par le biologiste évolutionniste formé à Harvard Joseph L. Popp, a été distribué via 20 000 disquettes infectées étiquetées "Disquettes introductives sur les informations sur le SIDA" lors d'une conférence de l'Organisation Mondiale de la Santé (OMS). Les victimes devaient envoyer un paiement de $\ 189\ à une boîte postale au Panama pour retrouver l'accès à leurs données. Cependant, en raison de failles dans le mécanisme de chiffrement, la récupération était possible sans l'intervention de l'attaquant. Popp a finalement été arrêté, marquant l'un des premiers cas d'extorsion cybernétique.
Depuis lors, Internet s'est étendu d'un réseau académique et militaire à une infrastructure mondiale omniprésente, et les cybercriminels ont tiré parti de cette croissance. Les logiciels de rançon ont considérablement évolué, passant d'attaques isolées à un modèle de cybercriminalité industrialisé.
Principaux jalons dans l'évolution des logiciels de rançon
Années 2000 : Les premières variantes de logiciels de rançon basées sur RSA telles qu'Archiveus et GPCode ont émergé.
2010-2013 : La montée des logiciels de rançon à thème policier (ex. WinLock, Reveton) a introduit des tactiques d'intimidation, souvent en se faisant passer pour la police. L'émergence de la cryptomonnaie a facilité les paiements de rançon non traçables, conduisant au développement de CryptoLocker, l'une des premières campagnes de logiciels de rançon alimentées par Bitcoin à grande échelle.
2016-2018 : Le modèle Ransomware-as-a-Service (RaaS) a gagné en popularité avec des groupes comme Locky et Cerber, permettant aux cybercriminels de distribuer des logiciels de rançon à l'échelle mondiale.
2017 : Les épidémies WannaCry et NotPetya ont mis en évidence le potentiel de perturbation de masse des logiciels de rançon, affectant des infrastructures critiques et des entreprises mondiales.
2019-2021 : Le modèle de double extorsion a émergé, inauguré par des groupes de logiciels de rançon tels que Maze, Ryuk et REvil. Ces groupes non seulement ont chiffré les données des victimes mais ont aussi menacé de les divulguer publiquement, augmentant ainsi la pression pour payer.
Aujourd'hui : Les groupes modernes de logiciels de rançon opèrent comme des syndicats de cybercriminalité organisés, employant des tactiques sophistiquées, l'automatisation et des attaques sur la chaîne d'approvisionnement. L'écosystème des logiciels de rançon est désormais dirigé par des entreprises criminelles structurées, avec des affiliés et des stratégies de monétisation ressemblant à des entreprises légitimes.
Tendances du Ransomware en 2025
Tendance Générale
Pour surveiller le paysage évolutif des ransomwares, nous avons utilisé Ransomwarelive, un outil de surveillance de sites de fuites de ransomware. Initialement un dérivé de ransomwatch et inspiré par ransomlook, cet outil agrège des données de divers sites de fuites, suivant les divulgations de victimes et les tendances d'attaques en temps réel.
Selon les statistiques de Ransomwarelive, le nombre d'attaques par ransomware signalées début 2025 a déjà dépassé les chiffres de l'année précédente dans le premier trimestre.
L'augmentation de la sophistication des opérations de ransomware, combinée avec les tensions géopolitiques et les incitations économiques, suggère que cette tendance continuera d'augmenter.
Groupes d'Attaque
Clop (23,3%), RansomHub (13,4%), et Akira (12,9%) sont les groupes de ransomware dominants, représentant collectivement près de 50% des incidents signalés. Cela suggère une forte concentration d'attaques dirigées par quelques acteurs majeurs, renforçant l'industrialisation des opérations de ransomware.
Des groupes plus petits comme Medusa, Qilin, et Play contribuent encore de manière significative, indiquant un écosystème de cybercriminalité fragmenté mais très actif.
Tendances Verticales
Parmi les cas divulgués, la technologie (15,2%) et la fabrication (13,7%) sont des cibles principales, probablement en raison de leur dépendance à des systèmes interconnectés, à la propriété intellectuelle, et aux chaînes d'approvisionnement critiques—ce qui en fait des candidats idéals pour la perturbation.
Les services aux entreprises (9,3%), l'énergie (7,7%), la santé (6,7%), et les institutions financières (6,7%) subissent également des menaces persistantes, reflétant l'intérêt des attaquants pour les données de grande valeur et les services essentiels. Les attaques sur le gouvernement (4,7%) et l'hôtellerie (4,7%) soulignent comment le ransomware est utilisé pour l'espionnage, la perturbation, et l'extorsion financière.
Ces tendances renforcent le besoin de mesures de cybersécurité spécifiques à chaque secteur, de politiques de signalement obligatoires, et de stratégies de défense proactive pour atténuer les risques opérationnels et économiques.
Groupes de Ransomware les Plus Actifs
Clop
Qu'est-ce que Clop ?
Clop est une variante de ransomware associée à TA505, un groupe de cybercriminels actif depuis au moins 2014. TA505 est connu pour avoir compromis plus de 3 000 organisations basées aux États-Unis et 8 000 organisations mondiales. Le groupe change fréquemment ses logiciels malveillants et influence les tendances mondiales dans la distribution de logiciels criminels, y compris les campagnes de ransomware impliquant Clop.
Apparu en février 2019 à partir de la variante de ransomware CryptoMix, Clop a été utilisé comme Ransomware-as-a-Service (RaaS) dans des campagnes de spear-phishing à grande échelle. Ces campagnes utilisaient des binaires vérifiés et signés numériquement pour contourner les défenses système. Clop a d'abord employé une tactique de 'double extorsion', volant et cryptant les données des victimes, et publiant les données exfiltrées sur le réseau Tor via le site CLOP^_-LEAKS si la rançon n'était pas payée.
En 2023, Clop a de plus en plus adopté des méthodes de pure extorsion avec un «ransomware sans cryptage», qui évite le processus de cryptage mais menace quand même de divulguer les données si la rançon n'est pas payée. Cette approche permet aux acteurs malveillants d'atteindre les mêmes résultats et de générer des profits plus importants.
Aperçu Technique
Le groupe ransomware Clop est connu pour faire évoluer ses tactiques, techniques et procédures (TTP). Ils gagnent généralement un accès initial via des e-mails de phishing contenant le chargeur Get2, qui télécharge le SDBot et le RAT FlawedAmmy. Ils utilisent également des identifiants valides ou exploitent divers CVE au fil du temps.
Fin janvier 2023, le groupe de ransomware Clop a lancé une campagne utilisant une vulnérabilité zero-day, maintenant répertoriée sous le nom de CVE-2023-0669, pour cibler la plate-forme GoAnywhere MFT. Il y a des spéculations sur l'utilisation d'une vulnérabilité de produit Cleo suivie sous le nom de CVE-2024-55956, que Clop prétend avoir exploitée.
Impact
Début 2025, Clop aurait ciblé 161 victimes.
Akira
Qu'est-ce qu'Akira ?
Akira est une variante de ransomware et une entité de déploiement active depuis au moins mars 2023. Akira obtient un accès initial en utilisant des identifiants compromis pour exploiter des mécanismes d'accès externes à facteur unique tels que les VPN. Il utilise ensuite divers outils et techniques disponibles au public pour se déplacer latéralement dans le réseau. Akira est associé à des activités de ransomware de «double extorsion», où les données sont exfiltrées des environnements des victimes avant le cryptage, avec menaces de publier les fichiers si la rançon n'est pas payée. L'analyse technique du ransomware Akira révèle de nombreux chevauchements et similitudes avec le malware Conti.
En tant que Ransomware-as-a-Service (RaaS), Akira a été utilisé par plusieurs groupes, y compris GOLD SAHARA et PUNK SPIDER.
Aperçu Technique
Le ransomware Akira est un binaire Windows 64 bits principalement développé en C++ avec une utilisation extensive des bibliothèques C++. Il utilise la bibliothèque Boost pour sa fonctionnalité de cryptage asynchrone et est compilé à l'aide du compilateur Microsoft Linker version 14.35. En juin 2023, un chercheur en sécurité connu sous le nom de «rivitna» a publié une version Linux d'Akira, également en 64 bits et incorporant la bibliothèque Boost.
Au départ, les premières versions du ransomware Akira chiffraient les fichiers avec l'extension ".akira". En août 2023, certaines attaques ont introduit une variante appelée Megazord, écrite en Rust, qui crypte les fichiers avec l'extension ".powerranges". Malgré l'introduction de Megazord, les acteurs de la menace Akira ont continué à déployer à la fois le ransomware Akira original, y compris une version Akira_v2 mise à jour, et Megazord de manière interchangeable dans leurs campagnes, comme confirmé par la CISA.
Impact
Début 2025, Akira aurait ciblé 141 victimes.
RansomHub
Qu'est-ce que RansomHub ?
RansomHub est apparu à la mi-février 2024 et a déjà répertorié plusieurs organisations comme victimes présumées de leurs attaques, qui impliquent l'extorsion via le cryptage et les fuites de données.
L'annonce du nouveau Ransomware-as-a-Service (RaaS) de RansomHub a été publiée sur RAMP4U (ou RAMP), un forum d'origine russe utilisé par les cybercriminels pour promouvoir des services malveillants. Un utilisateur nommé 'koley' a annoncé le programme d'affiliation le 2 février 2024.
Dans l'annonce RaaS, il a été mentionné que le blanchiment d'argent des rançons payées est de la responsabilité de l'affilié. Toute communication et envoi du décodeur à la victime sont gérés par chat. Le partage des revenus pour ce RaaS est de 90% pour l'affilié et de 10% pour le développeur, qui est identifié comme 'koley.'
RansomHub semble avoir des liens avec à la fois ALPHV (BlackCat) et Knight Ransomware. Suite à une attaque de ransomware en février 2024 contre Change Healthcare, ALPHV a initialement revendiqué la responsabilité mais a ensuite été accusé par un affilié, notchy, de retenir leur part d'une rançon de $\ 22\ millions. Après la disparition soudaine d'ALPHV en mars 2024, RansomHub est apparu, revendiquant la possession des mêmes 4 To de données volées. Les chercheurs ont noté de fortes similitudes dans les tactiques, techniques, infrastructures et code entre ALPHV et RansomHub, suggérant que RansomHub pourrait être un rebranding ou composé d'anciens affiliés d'ALPHV. De plus, RansomHub partage d'importants chevauchements de code avec Knight Ransomware (anciennement Cyclops), y compris être écrit en Go, utiliser Gobltiscate pour l'obfuscation, et employer des techniques de notes de rançon et de cryptage similaires. Les deux utilisent également une stratégie de redémarrage des systèmes en mode sans échec avant le cryptage. Ces chevauchements impliquent que RansomHub pourrait être une opération hybride, combinant les éléments des tactiques d'ALPHV avec le code de Knight, impliquant potentiellement d'anciens affiliés des deux groupes.
Impact
Début 2025, RansomHub aurait ciblé 124 victimes.
Détails Techniques et Profils d'Attaque
Profil d'Attaque de Clop
L'outil de Clop inclut plusieurs types de malware pour collecter des informations :
Cheval de Troie d'accès à distance FlawedAmmyy/FlawedGrace (RAT) : Collecte des informations et tente de communiquer avec le serveur de Commandement et de Contrôle (C2) pour permettre le téléchargement de composants malware supplémentaires [T1071], [T1105].
SDBot RAT : Propage l'infection en exploitant des vulnérabilités et en déposant des copies de lui-même sur des disques amovibles et des partages réseau [T1105]. Il peut aussi se propager via des réseaux pair-à-pair (P2P). SDBot agit en tant que porte dérobée [T1059.001] pour exécuter des commandes sur des ordinateurs compromis et utilise le shimming des applications pour la persistance et pour éviter la détection [T1546.011].
Truebot : Un téléchargeur de première étape qui collecte des informations système et prend des captures d'écran [T1113]. Développé par le groupe de hackers Silence, Truebot peut charger du code shell [T1055] ou des DLL [T1574.002], télécharger des modules supplémentaires [T1129], les exécuter, ou se supprimer [T1070]. TA505 a utilisé Truebot pour télécharger FlawedGrace ou des balises Cobalt Strike.
Cobalt Strike : Utilisé pour étendre l'accès au réseau après avoir obtenu l'accès au serveur Active Directory (AD) [T1018].
DEWMODE : Un shell web PHP conçu pour cibler les dispositifs Accellion FTA et interagir avec la base de données MySQL sous-jacente pour voler des données de dispositifs compromis [1505.003].
LEMURLOOT : Un shell web en C# conçu pour cibler la plateforme MOVEIt Transfer. Il authentifie les requêtes HTTP entrantes via un mot de passe codé en dur et peut exécuter des commandes pour télécharger des fichiers, extraire les paramètres système Azure, récupérer des informations détaillées sur les enregistrements, et gérer les comptes utilisateurs. Le shell web retourne les données dans un format compressé gzip.
Profil d'Attaque d'Akira
Le ransomware Akira est un binaire Windows 64 bits principalement développé en C++ avec une utilisation intensive des bibliothèques C++. Il utilise la bibliothèque Boost pour ses fonctionnalités de chiffrement asynchrone et est compilé avec Microsoft Linker version 14.35. En juin 2023, un chercheur en sécurité connu sous le nom de "rivitna" a publié une version Linux d'Akira, qui est aussi 64 bits et incorpore la bibliothèque Boost.
Initialement, les premières versions du ransomware Akira chiffraient les fichiers avec l'extension ".akira". En août 2023, certaines attaques ont introduit une variante appelée Megazord, écrite en Rust, qui chiffre les fichiers avec l'extension ".powerranges". Malgré l'introduction de Megazord, les acteurs de la menace Akira ont continué à déployer à la fois le ransomware Akira original, y compris une version mise à jour Akira_v2, et Megazord de manière interchangeable dans leurs campagnes, comme confirmé par la CISA.
Profil d'Attaque de RansomHub
Les affiliés de RansomHub obtiennent généralement un accès initial en ciblant des systèmes exposés à Internet et des terminaux utilisateurs à l'aide de diverses méthodes, dont des emails de phishing [T1566], l'exploitation de vulnérabilités connues [T1190], et le "password spraying" [T1110.003]—ce dernier utilisant souvent des identifiants obtenus à partir de fuites de données. Les exploits de preuve de concept sont souvent extraits de plateformes comme ExploitDB et GitHub [T1588.005].
Le malware emploie des contre-mesures contre les analystes, telles que l'utilisation de l'outil "gobfuscate", qui rend l'analyse statique complexe en ajoutant une couche de protection supplémentaire à la charge utile, nécessitant un mot de passe de 32 octets pour initier.
Arrestations et Réactions des Forces de l'Ordre
2025 a été une année importante non seulement pour les cybercriminels et les Menaces Persistantes Avancées (APTs), mais aussi pour les agences de sécurité, qui ont fait des progrès notables dans la lutte contre la cybercriminalité.
Opération Talent (30/01/2025)
Le ministère de la Justice a annoncé sa participation à une opération multinational impliquant des actions aux États-Unis, en Roumanie, en Australie, en France, en Allemagne, en Espagne, en Italie et en Grèce pour perturber et démanteler l'infrastructure des marchés de cybercriminalité en ligne connus sous le nom de Cracked et Nulled.
L'opération a été annoncée en conjonction avec l'Opération Talent, une initiative multinationale des forces de l'ordre soutenue par Europol pour enquêter sur Cracked et Nulled.
Pour plus d'informations, visitez :
Salle de presse d'Europol
Vidéo de l'Opération Talent
Opération Phobos Aetor (10/02/2025)
Une action coordonnée des forces de l'ordre internationales a conduit à l'arrestation de quatre individus dirigeant le groupe de ransomware 8Base. Ces ressortissants russes sont soupçonnés d'avoir déployé une variante du ransomware Phobos pour extorquer des paiements importants de victimes à travers l'Europe et au-delà. Simultanément, 27 serveurs liés au réseau criminel ont été démantelés.
Cette opération suit une série d'arrestations à fort impact visant le ransomware Phobos :
Un administrateur de Phobos a été arrêté en Corée du Sud en juin 2024 et extradé vers les États-Unis en novembre de la même année. Il est maintenant poursuivi pour avoir orchestré des attaques de ransomware qui ont crypté l'infrastructure critique, les systèmes commerciaux et les données personnelles pour obtenir des rançons.
Un affilié clé de Phobos a été arrêté en Italie en 2023 sur un mandat d'arrêt français, affaiblissant davantage le réseau derrière cette souche de ransomware.
Pour plus de détails, visitez :
Salle de presse d'Europol
Conclusion
En 2025, les attaques par ransomware sont devenues plus fréquentes et sophistiquées, avec une croissance projetée de 53 % d'une année sur l'autre. Cette augmentation souligne la menace croissante pour les organisations, en particulier dans les secteurs de la fabrication et de la technologie, qui sont les principales cibles en raison de leur dépendance aux systèmes interconnectés et à la propriété intellectuelle. Cependant, l'impact est généralisé, affectant plusieurs industries et soulignant la nécessité de mesures de cybersécurité robustes.
Les ransomwares ont évolué de simples attaques à des opérations de cybercriminalité organisées complexes. Des groupes comme Clop, RansomHub et Akira sont à l'avant-garde, utilisant des tactiques avancées telles que l'extorsion sans encryption et l'exploitation des vulnérabilités pour maximiser leur impact. Le paysage géopolitique de plus en plus complexe complique encore la situation, car les cybercriminels exploitent les tensions/protections mondiales et les incitations économiques à leur avantage.
Pour se protéger contre ces menaces, les organisations doivent mettre en œuvre des mesures de sécurité solides, y compris des mises à jour régulières du système, une formation des employés pour reconnaître les tentatives de phishing, et des plans de sauvegarde complets. Les efforts des forces de l'ordre, tels que l'Operation Talent et l'Operation Phobos Aetor, ont réalisé des progrès en arrêtant des cybercriminels et en fermant leurs opérations, mais un effort continu est nécessaire.
Références supplémentaires
Ransomwarelive :
Site Web : Ransomware.live
Description : Un outil de surveillance des sites de fuites de ransomware qui agrège des données de divers sites de fuites de ransomware, suivant les divulgations des victimes et les tendances des attaques en temps réel.
Groupes Mitre & ATTACK :
Clop : MITRE ATT&CK - Clop
Akira : MITRE ATT&CK - Akira
Avis de la CISA :
Clop : CISA - Clop
Akira : CISA - Akira
RansomHub : CISA - RansomHub
Salle de presse d'Europol :
Opération Talent : Europol - Opération Talent
Opération Phobos Aetor : Europol - Opération Phobos Aetor
Vidéo de l'opération Talent : Vidéo de l'opération Talent
Trout :
Site Web : Trout
Contact : hello@trout.software
Autres articles de blog de Trout
