Les attaquants abandonnent désormais les opérations de type smash-and-grap pour adopter une résidence « parasitaire ». Les RSSI doivent mettre l’accent sur les contrôles d’identité, surveiller les applications et intégrations fiables et concentrer les stratégies de détection sur la persistance.
Les attaquants de ransomware changent de tactique en faveur d’infiltrations plus furtives, car la menace de divulgation publique des données sensibles de l’entreprise devient le principal mécanisme d’extorsion.
Le rapport annuel de Picus Security sur l’équipe rouge montre que les attaquants s’éloignent des perturbations bruyantes pour se tourner vers un accès silencieux et à long terme – ou de tactiques « prédatrices » de type « smash-and-grippage » vers une résidence silencieuse « parasite ».
Quatre techniques d’attaque sur cinq les plus couramment déployées par les souches de ransomwares sont conçues pour rester cachées une fois que les attaquants obtiennent un premier accès. Par exemple, les opérations de ransomware utilisent de plus en plus des techniques d’évasion et de persistance de la défense à mesure que leur métier évolue, selon Picus Security, une société de cybersécurité spécialisée dans la simulation de violations et d’attaques.
Les attaquants acheminent également de plus en plus le trafic de commande et de contrôle (C2) via des services d’entreprise fiables tels que OpenAI et AWS, afin que les activités malveillantes ressemblent davantage au trafic professionnel normal.
Les conclusions de Picus Security proviennent de simulations d’attaques combinées à une analyse de 1,1 million de fichiers malveillants et de 15,5 millions d’actions contradictoires mappées sur le framework MITRE ATT&CK.
Les conclusions de Picus selon lesquelles les attaquants privilégient la furtivité et la persistance plutôt que les perturbations bruyantes sont cohérentes avec les conclusions de l’étude sur les ransomwares menée par Securin, qui rapporte que les attaquants enchaînent les vulnérabilités dans leurs attaques contre les systèmes d’entreprise.
« Les groupes de ransomware ne traitent plus les vulnérabilités comme des points d’entrée isolés », déclare Aviral Verma, analyste principal des renseignements sur les menaces au sein de la société de tests d’intrusion et de services de cybersécurité Securin. « Ils les rassemblent dans des chaînes d’exploitation délibérées, sélectionnant les faiblesses non seulement en fonction de leur gravité, mais aussi en fonction de l’efficacité avec laquelle elles peuvent détruire la confiance, la persistance et le contrôle opérationnel sur des plateformes entières. »
L’IA est désormais largement accessible aux auteurs de menaces, mais elle fonctionne principalement comme un multiplicateur de force plutôt que comme une force motrice dans les attaques de ransomwares.
Double peine
Les gangs de ransomwares privilégient généralement la double extorsion, où le chantage basé sur la menace de fuite d’informations volées est combiné à la perturbation provoquée par le cryptage des données après une intrusion dans les réseaux d’entreprise.
Picus rapporte un Baisse de 38 % du chiffrement au cours des 12 derniers mois, alors que de plus en plus de cybercriminels s’y tournent exfiltrant silencieusement des données à des fins d’extorsion, ce qui en fait leur principal stock de commerce.
La suggestion de Picus selon laquelle le volume des attaques de ransomware est en baisse est contestée par d’autres experts.
Tony Anscombe, évangéliste en chef de la sécurité chez le fournisseur de sécurité des points finaux Eset, a offert une perspective contrastée.
Nick Hyatt, consultant principal en renseignements sur les menaces au sein de la société de services de cybersécurité GuidePoint Security, affirme que les données de plus de 7 000 victimes ont été publiées l’année dernière, un chiffre qui exclut probablement « les victimes qui ont payé et n’ont jamais été publiées par l’auteur de la menace ».
Loin de montrer des signes de consolidation, le nombre de groupes de ransomwares actifs a atteint un niveau record l’année dernière, selon GuidePoint.
« Les auteurs de menaces ont rationalisé leurs capacités d’attaque, en utilisant une combinaison de techniques établies, d’exploitation des vulnérabilités et d’attaques nouvelles pour atteindre leurs objectifs », explique Hyatt.
Galerie des voleurs
« Akira se distingue aujourd’hui comme le groupe de ransomwares n°1 d’après les données 2025 de Huntress », déclare Dray Agha, directeur principal des opérations de sécurité chez Huntress, société de détection et de réponse gérée. « Leur métier évolue rapidement, spécifiquement pour neutraliser les solutions de sécurité existantes, et nous les voyons cibler de manière agressive le niveau de l’hyperviseur pour contourner complètement les protections traditionnelles de sécurité des points finaux.
Collin Hogue-Spears, directeur principal et expert technique distingué de la société de sécurité des applications Black Duck Software, affirme que les opérateurs de ransomwares ont cessé de fonctionner comme le crime organisé et ont commencé à fonctionner comme une entreprise de plateforme.
« Qilin a enregistré plus de 1 000 victimes en 2025, soit sept fois plus que l’année précédente », selon Hogue-Spears. « LockBit 5.0 a retrouvé sa capacité opérationnelle après son retrait. »
Pendant ce temps, la fédération Scattered Spider/Lapsus$/ShinyHunters (SLSH) pratique l’extorsion en tant que service, une approche qui permet aux cybercriminels moins compétents techniquement de gagner plus facilement leur vie de manière malhonnête.
SLSH a créé un « changement structurel » dans l’écosystème de la cybercriminalité.
« Soixante-treize nouveaux groupes sont apparus en six mois car ils n’ont plus besoin de construire leur propre outillage », explique Hogue-Spears. « Ils le louent. »
Les nouvelles techniques de menace nécessitent de repenser la sécurité
Vasileios Mourtzinos, membre de l’équipe chargée des menaces au sein de la société de détection et de réponse Quorum Cyber, affirme que de plus en plus de groupes s’éloignent du cryptage à fort impact pour se tourner vers des modèles axés sur l’extorsion qui donnent la priorité au vol de données et à un accès prolongé et silencieux.
« Cette approche, popularisée par des acteurs tels que Cl0p grâce à l’exploitation à grande échelle des vulnérabilités des tiers et de la chaîne d’approvisionnement, se reflète désormais plus largement, parallèlement à une augmentation des abus de comptes valides, d’outils administratifs légitimes pour se fondre dans l’activité normale et, dans certains cas, des tentatives de recrutement ou d’incitation d’initiés pour faciliter l’accès », explique Mourtzinos.
L’évolution du métier des groupes de ransomware devrait inciter à repenser les stratégies défensives.
« Pour les RSSI, la priorité devrait être de renforcer les contrôles d’identité, de surveiller de près les applications fiables et les intégrations tierces, et de garantir que les stratégies de détection se concentrent sur la persistance et l’activité d’exfiltration de données », conseille Mourtzinos.
