Des offres de capacités d’IA militarisées et exploitées ont fait irruption sur les forums clandestins sur les ransomwares, tandis que les opérateurs criminels adoptent de plus en plus des modèles commerciaux de type fournisseur.
Les ventes d’outils basés sur l’IA s’accélèrent sur les marchés clandestins des ransomwares, réduisant ainsi les barrières à l’entrée pour les nouveaux acteurs.
Une analyse des chaînes Telegram, de 20 forums du dark web et de cinq marchés clandestins réalisée par le fournisseur de plateforme anti-ransomware Halcyon a révélé que les publications d’utilitaires d’IA sont passées à 1 486 en février 2026, contre seulement 38 en décembre 2025.
Les outils d’IA à vendre divisés en quatre catégories :
- LLM militarisés : parfois appelés LLM sombres, ces outils omettent les garde-fous et les règles de sécurité présents dans les grands modèles de langage (LLM) légitimes. « WormGPT » est le leader du marché dans cette catégorie d’outils d’IA axés sur la cybercriminalité, mais uniquement en tant que marque utilisée par plusieurs opérateurs, dont certains sont de simples escroqueries qui collectent des paiements sans offrir aucun service.
- Fraude à l’identité basée sur l’IA : les outils de cette catégorie incluent les deepfakes vocaux et vidéo, créés à l’aide de l’IA, qui sont utilisés pour tromper les systèmes de reconnaissance basés sur les selfies et d’autres contrôles de sécurité de connaissance de votre client (KYC), entre autres applications frauduleuses. Les mêmes outils peuvent également être utilisés dans le cadre d’escroqueries de compromission de courrier électronique professionnel.
- Infrastructure d’attaque et de malware renforcée par l’IA : l’infrastructure basée sur l’IA est utilisée pour regrouper, traiter et exfiltrer les données volées plus efficacement.
- Services d’IA jailbreakés et volés : les comptes d’IA piratés constituent la plus grande catégorie de services proposés et les moins chers.
Halcyon estime que le volume des attaques de ransomware a augmenté de 20 % depuis 2023, l’accent étant davantage mis sur le ciblage des petites entreprises, qui représentent désormais 80 % des attaques.
Lors d’une présentation à Infosecurity Europe, Cynthia Kaiser, vice-présidente directrice du Ransomware Research Center de Halcyon, a déclaré aux délégués que les plus grands opérateurs de ransomwares, tels qu’Akira, appliquent de plus en plus les mêmes modèles commerciaux que les fournisseurs légitimes en vendant des services et des infrastructures à leurs clients et affiliés. La principale différence est que les produits proposés sont des exploits et des informations d’identification volées plutôt que des produits légitimes vendus sur des marchés légitimes.
Les groupes de ransomwares vendent régulièrement via plusieurs canaux, créant ainsi une redondance en cas de suppression d’un canal. Leurs services sont souvent proposés avec des tarifs différenciés et sont généralement disponibles avec un modèle freemium popularisé par les services Web légitimes. Les canaux Telegram pilotés par des robots automatisent le processus de vente et de marketing, tandis que les cybercriminels utilisent des utilitaires basés sur l’IA pour offrir un service client.
« Les opérateurs de ransomwares modernes n’ont pas besoin de créer leurs opérations à partir de zéro », a déclaré Kaiser, ancien directeur adjoint de la division Cyber du FBI, qui a ajouté que le niveau de compétence requis des cybercriminels potentiels a baissé.
Déshonneur parmi les voleurs
Tout cela peut paraître impressionnant, mais Kaiser a souligné que la sécurité opérationnelle criminelle (OpSec) est plus faible qu’il n’y paraît.
« Les marchés criminels de l’IA ont un problème de vol (parce que) les chapeaux noirs s’attaquent les uns les autres », a déclaré Kaiser.
Par exemple, les informations d’identification d’une instance de WormGPT ont été volées par des cybercriminels rivaux et renvoyées sur le même forum qui vendait à l’origine l’accès à l’utilitaire malveillant basé sur l’IA.
Au-delà de ces perturbations, l’utilisation accrue des outils d’IA fait partie du signe que la scène clandestine des ransomwares s’est professionnalisée, notamment en facilitant l’exécution de multiples attaques à grande échelle.
Le ratisser
Selon une étude distincte de Rapid7, les ransomwares deviennent de plus en plus rentables, en hausse de 39 % entre le premier trimestre 2025 et le premier trimestre 2026.
Le groupe de ransomware Qilin a gagné environ 193 millions de dollars entre juillet 2025 et mars 2026. Et The Gentleman, qui est juste derrière Qilin en tant que plus grand groupe de ransomware, a gagné environ 52 millions de dollars entre juillet 2025 et mars 2026, selon Rapid7.
L’analyse de Rapid7 est basée sur les paiements de rançon moyens et les taux de paiement de CoveWare, une société de réponse aux incidents de ransomware et de cyberextorsion.
Thom Langford, CTO EMEA chez Rapid7, a déclaré que l’écosystème des ransomwares a évolué vers un marché souterrain mature où l’accès, les outils et les services d’attaque complets sont désormais disponibles commercialement pour presque tout le monde.
Langford a ajouté que l’ingénierie sociale basée sur l’IA, principalement pour créer des leurres de phishing plus convaincants, est largement utilisée.
Les marchés proposent un menu à la carte où les cybercriminels peuvent contracter des services pour un premier accès, une exfiltration ou une négociation avec les victimes, selon Langford, qui a ajouté que la plupart, sinon la totalité, des principaux acteurs de la scène des ransomwares « parlent russe ».
Contre-mesures
Les démantèlements des forces de l’ordre freinent la croissance des opérations de ransomware, mais les entreprises doivent également jouer leur rôle en matière de défense, conseille Halcyon.
Les entreprises doivent se concentrer sur des mesures telles que l’arrêt de l’accès initial, la détection des mouvements latéraux et l’interruption de l’exfiltration et du cryptage. Les entreprises peuvent également renforcer leur résilience grâce à des exercices sur table, a conclu Kaiser.
