Attaques de Ransomware en Explosion en 2025 : Nouveaux Acteurs Émergent dans un Paysage Cybermenaçant
Séraphine Clairlune
Attaques de Ransomware en Explosion en 2025 : Nouveaux Acteurs Émergent dans un Paysage Cybermenaçant
Selon un nouveau rapport de Cyble, les attaques de ransomware ont augmenté de 50% en 2025 malgré d’importants changements parmi les groupes de ransomware leaders. Cette augmentation alarmante s’inscrit dans un contexte où le paysage cybermenaçant général devient de plus en plus dangereux cette année, avec des atteintes de données record et des attaques contre la chaîne d’approvisionnement.
Au 21 octobre 2025, 5 010 attaques de ransomware avaient été revendiquées par les groupes sur leurs sites de fuites de données du dark web, contre 3 335 pendant la même période en 2024. Cette progression exponentielle témoigne d’une sophistication croissante des acteurs malveillants et de leur capacité à s’adapter face aux mesures de défense.
« Du déclin de RansomHub à l’essor de Qilin et de nouveaux venus comme Sinobi et The Gentlemen, la direction des groupes de ransomware a été en mutation pour une grande partie de 2025, mais les affiliés ont rapidement trouvé de nouvelles opportunités, et un approvisionnement constant en vulnérabilités critiques a aidé à alimenter les attaques », explique Cyble.
Évolution du Paysage des Menaces en 2025
Le rapport sur le paysage des menaces de Cyble documente non seulement l’augmentation des attaques de ransomware, mais également l’ensemble des tendances cybercriminelles émergentes. Les acteurs malveillants ont démontré une remarquable capacité d’adaptation, transformant rapidement leur tactique face aux interventions des autorités et aux améliorations des postes de sécurité.
En pratique, nous observons une consolidation des groupes les plus sophistiqués qui développent des infrastructures plus robustes, tandis que les groupes moins organisés disparaissent ou sont absorbés. Cette polarisation du paysage menace de créer un environnement où quelques acteurs puissants dominent le marché de l’extorsion numérique.
Les Facteurs Clés de l’Augmentation des Attaques
Plusieurs éléments expliquent cette augmentation spectaculaire :
- Vulnérabilités critiques non patchées : Une fourniture constante de failles dans les systèmes populaires
- Monétisation accrue : Les cybercriminels développent des modèles économiques plus sophistiqués
- Défense des infrastructures critiques : Les attaques se déplacent vers les secteurs les plus vulnérables
- Internationalisation des opérations : Les groupes étendent leurs géographies cibles
- Intelligence artificielle appliquée : Utilisation croissante de l’IA pour créer des campagnes plus efficaces
Qilin Domine le Paysage des Ransomwares
Septembre 2025 a marqué la cinquième augmentation mensuelle consécutive des attaques de ransomware, et Qilin a mené tous les groupes de ransomware pour la cinquième fois en six mois, consolidant sa leadership suite au déclin de RansomHub.
Au total, les groupes de ransomware ont revendiqué 474 victimes en septembre, une légère augmentation par rapport à août. Bien que ce chiffre soit loin du record de février 2025, il reste « parmi les totaux mensuels d’attaques de ransomware les plus élevés enregistrés », selon Cyble.
Cette tendance ascendante préoccupante s’inscrit dans un contexte où les organisations, malgré les investissements croissants en cybersécurité, peinent à contenir la menace. Les défenseurs constatent que les attaquants évoluent plus rapidement que les mesures de protection mises en place.
Campagnes Ciblées et Stratégies Émergentes
Les campagnes de ransomware modernes se caractérisent par une sophistication tactique accrue. Qilin, en particulier, a démontré une capacité à coordonner des attaques complexes touchant des multiples entités simultanément, comme en témoigne sa campagne « KoreanLeak » qui a ciblé les sociétés de gestion d’actifs en Corée du Sud.
Dans cette campagne, une société de gestion d’actifs a déclaré que ses systèmes avaient été affectés par une attaque de ransomware contre son fournisseur de services informatiques, indiquant une possible compromission de la chaîne d’approvisionnement affectant plusieurs entreprises simultanément. Cette approche de compromission multi-entreprises représente une évolution inquiétante dans la tactique des acteurs malveillants.
Nouveaux Acteurs et Émergence de The Gentlemen
L’émergence de The Gentlemen a été un développement notable, un nouveau groupe qui a revendiqué 46 victimes à ce jour. « L’utilisation par le groupe d’outils personnalisés ciblant des fournisseurs de sécurité spécifiques et la diversité géographique de ses cibles suggèrent que le groupe pourrait disposer des ressources pour devenir une menace durable », souligne Cyble.
Analyse des Groupes Leaders en Septembre 2025
| Groupe de Ransomware | Victimes Revendiquées | Positionnement | Caractéristiques Notables |
|---|---|---|---|
| Qilin | 99 | Leader consolidé | Campagnes à grande échelle, diversification sectorielle |
| Akira | 59 | Deuxième | Techniques d’infiltration sophistiquées |
| The Gentlemen | 46 | Nouveau venu | Outils personnalisés, diversité géographique |
| LockBit | 41 | Stable | Infrastructure robuste, modèle de ransomware-as-a-service |
| Black Basta | 38 | Établi | Ciblage spécifique des secteurs critiques |
Ce tableau illustre la consolidation du marché où quelques groupes dominent, tandis que de nouveaux acteurs émergent avec des approches distinctes. Cette concentration du pouvoir entre les mains de quelques acteurs peut à terme créer un environnement plus prévisible mais également plus risqué pour les défenseurs.
Cibles Géographiques et Sectorielles
Les États-Unis restent de loin la plus grande cible pour les groupes de ransomware, avec 259 victimes représentant près de 55% des attaques en septembre. L’Allemagne, la France, le Canada, l’Espagne, l’Italie et le Royaume-Uni restent des cibles constantes, mais la Corée du Sud est apparue comme une nouvelle cible majeure, se classant deuxième derrière les États-Unis avec 32 attaques, en grande partie due à une campagne de Qilin.
La Corée du Sud, Nouveau Point Chaud
Sur les 32 attaques sud-coréennes enregistrées en septembre, 29 provenaient de la campagne « KoreanLeak » de Qilin qui ciblait les sociétés de gestion d’actifs du pays. Cette campagne a également fait de la Corée du Sud de loin le pays le plus attaqué de la région Asie-Pacifique en septembre, devançant largement l’Inde, la Thaïlande et Taïwan.
Cette situation soulève des questions importantes concernant la résilience des infrastructures critiques en Corée du Sud et la nécessité d’une coopération renforcée entre les secteurs public et privé pour contrer ces menaces ciblées.
Secteurs les Plus Touchés
La campagne sud-coréenne de Qilin a fait des services bancaires, financiers et d’assurance (BFSI) le troisième secteur le plus attaqué en septembre, derrière la Construction et la Fabrication, et devant les Services Professionnels, les TI et la Santé.
Les secteurs critiques continuent d’être les cibles prioritaires des groupes de ransomware en raison de l’impact potentiellement maximal d’une attaque réussie et de la probabilité plus élevée que les victimes paient la rançon pour restaurer rapidement leurs opérations.
« Nous constatons une polarisation des cibles où les organisations avec des modèles de revenus directs ou des services essentiels sont beaucoup plus susceptibles d’être attaquées », explique un analyste de cybersécurité interrogé sur ces tendances.
Recommandations pour les Défenseurs
Face à cette augmentation des attaques et à l’évolution des tactiques des acteurs malveillants, les organisations doivent renforcer leurs stratégies de défense. Le rapport de Cyble inclut plusieurs recommandations spécifiques pour les défenseurs :
Stratégies de Défense Essentielles
Renforcement de la résilience de la chaîne d’approvisionnement :
- Cartographier les dépendances tierces critiques
- Exiger des preuves de conformité de sécurité des fournisseurs
- Mettre en place des mécanismes de surveillance continue
Amélioration de la détection et de la réponse :
- Déployer des solutions de détection basée sur l’IA
- Mettre à jour régulièrement les signatures de menace
- S’entraîner régulièrement aux scénarios d’attaque de ransomware
Protection des infrastructures critiques :
- Isoler les systèmes critiques du réseau principal
- Mettre en place des sauvegardes immuables
- Développer des plans de réponse aux incidents détaillés
Mesures Proactives Recommandées
- Mise à jour immédiate des systèmes : S’assurer que tous les systèmes sont à jour avec les derniers correctifs de sécurité
- Segmentation réseau renforcée : Limiter la propagation potentielle des malwares à l’intérieur du réseau
- Formation du personnel ciblée : Sensibiliser les employés aux techniques de phishing et d’ingénierie sociale
- Tests d’intrusion réguliers : Identifier les vulnérabilités avant qu’elles ne soient exploitées
Conclusion et Perspectives pour 2026
L’augmentation de 50% des attaques de ransomware en 2025 témoigne d’une évolution préoccupante du paysage cybercriminel. Avec l’émergence de nouveaux acteurs comme The Gentlemen et la consolidation de groupes établis comme Qilin, les défenseurs font face à un environnement de plus en plus complexe et diversifié.
La tendance actuelle suggère que les attaques de ransomware continueront de sophistiquer et de diversifier leurs cibles et méthodes au cours des prochains mois. Les organisations doivent anticiper ces évolutions et investir dans des stratégies de défense holistiques qui combinent technologie, processus et sensibilisation.
Face à cette menace persistante et en constante évolution, la vigilance reste la meilleure défense. Les organisations qui adoptent une approche proactive de la cybersécurité, en investissant dans la prévention plutôt que simplement dans la réponse, seront les mieux positionnées pour résister à cette vague croissante d’attaques de ransomware.