Les attaques de ransomwares se sont multipliées en raison de l’arrivée de nouveaux acteurs et de partenariats entre les attaquants existants. Ce chiffre devrait encore augmenter à l’approche des vacances de fin d’année.
Une augmentation saisonnière des activités malveillantes combinée aux alliances entre groupes de ransomwares a entraîné une augmentation de 41 % des attaques entre septembre et octobre. Le groupe de cybercriminels Qilin continue d’être le pagayeur de ransomwares le plus actif, responsable de 170 des 594 attaques (29 %) en octobre, rapporte le groupe NCC.
Sinobi et Akira suivent avec 15 % des attaques de ransomwares, ce qui complète les trois groupes de ransomwares les plus actifs en octobre 2025.
L’augmentation des attaques de ransomwares fait suite à plusieurs mois de relative stabilité du nombre d’attaques d’avril à août, avec notamment une baisse entre avril et juin.
L’activité a commencé à reprendre à la fin de l’été dans l’hémisphère Nord, le mois de septembre enregistrant une augmentation de 28 % d’un mois à l’autre – une dynamique qui s’est maintenant accélérée jusqu’au pic d’octobre, rapporte NCC.
La forte hausse d’octobre indique que les acteurs de la menace intensifient leurs opérations à l’approche de ce qui est généralement la période la plus active en matière de cybercriminalité. « Le quatrième « trimestre doré » de l’année connaît un pic de dépenses de consommation à partir du Black Friday, du Cyber Monday et de Noël, offrant ainsi de plus grandes opportunités aux acteurs de la cybermenace », selon NCC.
Les statistiques du groupe NCC sont dérivées d’une surveillance active des sites de fuite privilégiés par chaque groupe de ransomwares. Sur les 594 attaques survenues en octobre, le secteur industriel est resté le secteur le plus ciblé, avec 28 % (167) de l’ensemble des attaques. Les biens de consommation discrétionnaire (qui comprennent les constructeurs automobiles, les commerces de détail et les établissements de loisirs) ont subi 124 attaques. Les soins de santé sont passés à la troisième place avec 64 attaques.
L’Amérique du Nord a été la plus durement touchée par les attaques de ransomware, avec plus de la moitié de ces incidents (62 %), contre l’Europe (17 %) et l’Asie (9 %).
Une étude annuelle de Guidepoint Security a révélé une augmentation de 57 % d’une année sur l’autre des groupes de ransomwares actifs. Dans le même temps, le nombre de victimes de ransomwares s’est stabilisé entre 1 500 et 1 600 par trimestre depuis le quatrième trimestre 2024, selon les chiffres de Guidepoint.
Alliances de groupes de ransomwares : l’axe du mal
De nouveaux acteurs et alliances entre groupes de ransomwares ont contribué à l’augmentation globale des attaques de ransomwares en octobre.
Par exemple, le groupe LockBit 5.0, récemment relancé, s’est aligné sur d’autres groupes importants de ransomware-as-a-service (RaaS), DragonForce et Qilin.
Les alliances entre groupes menaçants permettent de partager des outils, des infrastructures et des tactiques pour rendre leurs attaques plus efficaces.
« L’alliance entre LockBit, DragonForce et Qilin combine l’expertise technique, les ressources et l’infrastructure, créant un réseau capable de soutenir des opérations de ransomware à grande échelle tout en compliquant l’attribution et la réponse des organisations et des forces de l’ordre », selon NCC.
Bien qu’aucune attaque coordonnée n’ait été confirmée, ces alliances lâches pourraient servir d’outil de recrutement pour les affiliés.
« Le partenariat vise également probablement à reconstruire la réputation de LockBit au sein de la communauté de la cybercriminalité, en rassurant les affiliés sur sa pertinence et sa capacité opérationnelle continues après les perturbations des forces de l’ordre de 2024 », ajoute NCC.
Ailleurs, de nouveaux venus sous la forme du groupe de ransomwares The Gentlemen ont fait irruption dans le paysage des menaces avec 21 attaques contre des sociétés de soins de santé, de services financiers et informatiques, entre autres.
« Une partie de la raison pour laquelle nous voyons davantage de groupes et de variantes de ransomwares dans le paysage est la barrière technique de plus en plus réduite à l’entrée de la cybercriminalité », selon NCC. « Les créateurs de ransomwares ont été régulièrement divulgués ou publiés, ce qui signifie que les acteurs malveillants ayant un faible niveau de sophistication technique sont toujours en mesure de mener des campagnes efficaces. »
Les groupes de ransomware changent de tactique pour échapper aux forces de l’ordre
La dernière étude trimestrielle de Rapid7 a également révélé que les alliances nouvellement forgées conduisent à une augmentation de l’activité des ransomwares, tout en ajoutant que les innovations tactiques, de l’extorsion raffinée à la double extorsion et à l’utilisation du jour zéro, jouent également un rôle dans l’augmentation des malversations.
Le trimestre a également vu 88 groupes de ransomwares actifs, contre 65 au deuxième trimestre et 76 au premier trimestre, signalant une augmentation de l’activité et mettant en évidence l’évolution d’un environnement de menace fébrile.
Des groupes tels que Qilin, SafePay et WorldLeaks ont mené une vague d’alliances ciblant des secteurs tels que les services aux entreprises, l’industrie manufacturière et la santé, rapporte Rapid7.
Ces mêmes groupes ont commencé à expérimenter des opérations sans fichier, des fuites de données d’extorsion unique et des offres de services d’affiliation telles que l’assistance à la négociation de rançons, où un membre plus expérimenté du groupe s’associe à un acteur moins expérimenté pour extorquer la victime.
La société de réponse aux incidents de cyberextorsion Coveware rapporte que la compromission de l’accès à distance, le phishing/l’ingénierie sociale et l’exploitation des vulnérabilités logicielles restent au cœur des activités d’intrusion, mais les distinctions entre eux sont de plus en plus floues.
« De plus en plus, les adversaires obtiennent l’accès non seulement en se connectant à un système, mais en convainquant quelqu’un d’autre de le fournir pour eux », explique Coveware. « Les campagnes qui ont brouillé ces lignes, comme celles qui usurpent l’identité des équipes de support SaaS ou abusent des processus du service d’assistance pour obtenir l’autorisation OAuth, ont démontré comment la confiance humaine peut être transformée en un point d’ancrage technique.
Les intrusions basées sur les identifiants via les VPN, les passerelles cloud et les intégrations SaaS ont continué à constituer le principal vecteur d’attaques de ransomwares.
L’étude Coveware du troisième trimestre 2005 sur les ransomwares a identifié Akira et Qilin comme les deux variantes de ransomware les plus répandues. Certains groupes de ransomwares sont en train de se rebaptiser en une organisation spécialisée dans le vol de données, abandonnant le cryptage des fichiers comme tactique d’extorsion, ajoute Coveware.
Revoir et renforcer les mesures de cybersécurité
Matt Hull, responsable du renseignement sur les menaces chez NCC Group, a déclaré que plus de 200 variantes de ransomware ont été identifiées jusqu’à présent cette année.
« Alors que l’activité des ransomwares s’accélère et que des attaques notables continuent de provoquer des perturbations économiques et opérationnelles généralisées, la vigilance est plus critique que jamais. Les organisations devraient profiter de ce moment pour renforcer leurs mesures de sécurité et tester leurs plans de réponse aux incidents », a déclaré Hull. « La surveillance proactive, la sensibilisation du personnel et les sauvegardes sécurisées restent essentielles à l’approche de la haute saison des menaces de l’année. »
