L’alliance vise à coordonner les attaques et à partager les ressources alors que la pression des forces de l’ordre augmente.
Trois des opérations de ransomware-as-a-service les plus notoires ont formé un cartel criminel visant à coordonner les attaques et à partager des ressources dans ce qu’ils décrivent comme un environnement commercial de ransomware de plus en plus « difficile ».
DragonForce, Qilin et LockBit ont annoncé le partenariat début septembre, DragonForce proposant la collaboration peu de temps après la réémergence de LockBit avec sa variante de ransomware LockBit 5.0, selon un rapport de ReliaQuest.
« Créez des conditions de concurrence égales, sans conflits ni insultes publiques », a écrit DragonForce dans un article sur les forums du dark web, traduit du russe. » De cette façon, nous pouvons tous augmenter nos revenus et dicter les conditions du marché. Appelez cela comme vous voulez : coalition, cartel, etc. L’essentiel est de rester en contact, d’être amicaux les uns envers les autres et d’être de solides alliés et non des ennemis. «
LockBit a répondu : « Je suis entièrement d’accord avec vous. Je ne vous souhaite rien de mal. Ce que les gens sont pour moi, je le suis aussi pour les gens », selon les communications examinées par la société de cybersécurité ReliaQuest.
DragonForce a ensuite annoncé la coalition et a invité d’autres opérateurs de ransomware à la rejoindre. « La coalition entre Qilin, LockBit et DragonForce unit nos efforts alors que nous développons notre direction en collaboration », a déclaré ReliaQuest dans un rapport, montrant une capture d’écran du message de DragonForce.
La pression des forces de l’ordre favorise la consolidation
Cette alliance intervient alors que les opérateurs de ransomwares sont confrontés à une pression croissante due aux perturbations des forces de l’ordre. En février 2024, les autorités internationales ont saisi l’infrastructure de LockBit, arrêté des membres et émis un mandat d’arrêt contre le chef présumé du groupe, érodant considérablement la confiance des affiliés dans l’opération autrefois dominante.
« Cette alliance pourrait aider à restaurer la réputation de LockBit parmi les affiliés après le retrait de l’année dernière, déclenchant potentiellement une recrudescence des attaques contre les infrastructures critiques et élargissant la menace à des secteurs auparavant considérés comme à faible risque », a écrit Hayden Evans, chercheur en menaces chez ReliaQuest, dans le rapport.
Plus tôt cette semaine, Qilin a revendiqué la responsabilité du piratage du groupe japonais Asahi.
Le partenariat devrait faciliter le partage de techniques, de ressources et d’infrastructures entre les trois groupes, selon le rapport. En 2020, LockBit s’est associé au groupe de ransomware Maze dans le cadre d’une collaboration qui a introduit des tactiques de double extorsion, combinant le cryptage du système et le vol de données, note le rapport.
À ce jour, ReliaQuest a déclaré n’avoir observé aucune attaque indiquant une collaboration active entre les trois groupes, et aucun nouveau site de fuite combiné n’a été établi. Les groupes continuent de revendiquer individuellement le mérite de leurs propres attaques.
Les infrastructures critiques déclarées jeu équitable
Dans le cadre de l’annonce du retour de LockBit, le groupe a révélé que les secteurs d’infrastructures critiques auparavant considérés comme interdits seraient désormais des cibles autorisées pour ses filiales. « Il est permis d’attaquer des infrastructures critiques telles que des centrales nucléaires, des centrales thermiques, des centrales hydroélectriques et d’autres organisations similaires », a déclaré le groupe, selon le rapport.
L’autorisation comprend un défi aux forces de l’ordre : « Ces autorisations restent en vigueur jusqu’à ce qu’un accord soit conclu entre le FBI et LockBit pour ne pas attaquer certaines catégories de cibles. Si vous lisez ceci et que ces règles n’ont pas changé, alors le FBI ne nous a pas encore approché pour cet accord, et ils sont tout à fait à l’aise avec les autorisations d’attaquer les catégories d’organisations ci-dessus. «
Cette décision marque un changement significatif par rapport aux règles informelles qui régissent les opérations de ransomware depuis l’attaque du Colonial Pipeline en mai 2021 par le groupe DarkSide, qui a conduit à un examen minutieux des forces de l’ordre et à la fermeture éventuelle du groupe, selon le rapport.
Le FBI n’a pas immédiatement répondu à une demande de commentaire.
Alliance parallèle entre criminels anglophones
Le cartel DragonForce-Qilin-LockBit suit un modèle de consolidation similaire parmi les collectifs de cybercriminalité principalement anglophones. Scattered Spider, ShinyHunters et Lapsus$ ont commencé à collaborer sous le nom de Scattered Lapsus$ Hunters, en lançant en octobre un site de fuite de données répertoriant 39 entreprises dont les environnements Salesforce auraient été compromis, selon le rapport.
Fin août, Scattered Spider a annoncé son intention de lancer sa propre offre de ransomware-as-a-service appelée ShinySp1d3r RaaS, affirmant qu’il s’agirait du « meilleur RaaS jamais créé », indique le rapport.
Fragmentation record malgré la consolidation
Les formations de cartels surviennent dans un contexte de fragmentation record de l’écosystème plus large des ransomwares. Le nombre de sites actifs de fuite de données a atteint un niveau record de 81 au troisième trimestre 2025, alors que de plus petits groupes comblaient les vides laissés par les opérations majeures perturbées, indique le rapport.
ReliaQuest a recommandé aux organisations de restreindre le protocole de bureau à distance et l’accès VPN en utilisant des certificats basés sur les appareils pour bloquer les attaquants utilisant des informations d’identification volées, car « les affiliés de ransomwares obtiennent de plus en plus l’accès en s’authentifiant simplement auprès de RDP ou de VPN », indique le rapport.
Pour les organisations d’infrastructures critiques désormais explicitement ciblées par les filiales de LockBit, ReliaQuest a recommandé de mettre en œuvre une segmentation du réseau à l’aide du modèle Purdue, qui établit des zones de sécurité distinctes avec des contrôles d’accès stricts et des pare-feu entre les systèmes informatiques et technologiques opérationnels. « Cela limite la propagation des ransomwares entre les réseaux et réduit l’impact des attaques », indique le rapport.
