Ransomware 2025 : Statistiques, Tendances et Incidents Majeurs

Sauter vers:

» Rançongiciel

Statistiques et Vue d'ensemble
Tendances Clés
Tactiques d'Attaque et Vecteurs
Incidents Majeurs
Répartition par Géographie et Industrie
Étapes de l'attaque par ransomware
Types de ransomware
Dernières attaques de ransomware
Est-ce une solution de payer la rançon ?
Comment se protéger des ransomwares ?
Liste des familles de ransomwares

Qu'est-ce que le Ransomware ?

C'est probablement le pire cauchemar de découvrir que les fichiers de votre PC sont chiffrés. Vous consultiez votre boîte mail et cliquiez sur les fichiers joints pour voir ce qu'ils contenaient. Le fichier étrange, qui ne faisait rien d'autre que proposer d'activer les macros, ne semblait pas suspect. Mais soudain, moins de 15 minutes après avoir ouvert ce document, vous voyez que tous les fichiers de votre PC ont des extensions étranges, et au moins un fichier readme.txt se trouve dans chaque dossier. Comment cela est-il arrivé ?

La définition courte du ransomware est cachée dans son nom, tout comme dans de nombreux autres virus. Le « logiciel de rançon » est un programme qui s'injecte dans votre ordinateur, chiffre vos fichiers, puis vous demande de payer la rançon pour récupérer vos fichiers. Certains exemples de ransomwares peuvent menacer leurs victimes de supprimer leurs fichiers ou de publier des données sensibles si elles ne paient pas la rançon. Alors que le premier danger est un mensonge à 100 %, la seconde thèse peut être réelle car le ransomware est souvent diffusé avec des logiciels espions ou des voleurs d'informations.

Pour chaque victime, le ransomware génère une clé en ligne unique. Cette clé est stockée sur le serveur maintenu par les cybercriminels. Si le virus ne peut pas se connecter à ce serveur, il chiffre les fichiers avec la clé hors ligne, qui est stockée localement sur la machine chiffrée. Le nombre de clés hors ligne est limité. Par conséquent, vous avez une clé de déchiffrement en commun avec plusieurs autres victimes.

Malheureusement, il n'y a aucune garantie à 100 % de récupérer vos fichiers. Si vous êtes assez chanceux et que le ransomware utilise la clé hors ligne, vous pouvez déchiffrer vos données beaucoup plus rapidement. Néanmoins, l'obtention des clés est assez longue et vous devrez peut-être attendre plusieurs semaines. L'application de déchiffrement, qui est censée être utilisée pour le déchiffrement des fichiers, recevra la mise à jour avec la clé qui vous correspond dès que les analystes la trouveront.

Les clés en ligne sont beaucoup plus difficiles à résoudre. Comme chaque clé est unique, vous pouvez attendre des mois. Les distributeurs de ransomwares seront probablement arrêtés et forcés de révéler toutes les clés qu'ils ont sur les serveurs. Un autre cas où toutes les clés sont rendues publiques est lorsque les créateurs de ransomwares décident d'arrêter leur activité malveillante. Une telle situation ne s'est produite qu'une seule fois - en 2018, lorsque les développeurs de GandCrab ont affirmé avoir gagné 2 milliards de dollars et suspendu leur activité.

Ransomware en 2025 : Statistiques et Vue d'ensemble

Le paysage des menaces de ransomware en 2025 a atteint des niveaux de sophistication et d'impact sans précédent. Sur la base d'une analyse complète des incidents de janvier à septembre 2025, la communauté de la cybersécurité assiste à une escalade spectaculaire de la fréquence et de la gravité des attaques de ransomware.

Statistiques Clés (Janvier–Septembre 2025)

4 701 incidents signalés dans le monde (+46 % par rapport à la même période en 2024)
2 332 attaques (50 %) ont ciblé des infrastructures critiques (+34 % sur un an)
Les États-Unis représentent 21 % de tous les cas mondiaux, suivis du Canada (8 %) et du Royaume-Uni (6 %)
2 millions de dollars de demande de rançon moyenne (en hausse par rapport à 400 000 $ en 2023)
1,53 million de dollars de coût moyen de récupération hors paiement de la rançon (–44 % par rapport à 2024)
Seulement 40 % des victimes ont impliqué les forces de l'ordre (en baisse par rapport à 52 % en 2024)
49 % des victimes ayant des données chiffrées ont payé la rançon (en baisse par rapport à 70 % en 2024)

Tendances Clés en 2025

L'écosystème des ransomwares a considérablement évolué en 2025, les acteurs de la menace adoptant des tactiques de plus en plus agressives et technologiquement avancées. Voici les tendances les plus significatives qui façonnent le paysage actuel des menaces :

Tendance	Détails
Ciblage des Infrastructures Critiques	Le secteur manufacturier a vu une augmentation de +61 % des attaques, avec une croissance significative également dans la santé, l'énergie, les transports et la finance. Ces secteurs sont des cibles privilégiées en raison de l'urgence opérationnelle et d'une plus grande volonté de payer.
Chiffrement Accéléré	Le temps médian entre la violation initiale et le déploiement du ransomware est tombé à seulement 5 jours (contre 11 jours auparavant). Certains groupes peuvent chiffrer les systèmes quelques heures après avoir obtenu l'accès.
Triple Extorsion	87 % des attaques combinent désormais le chiffrement des données avec des menaces d'exfiltration, des attaques DDoS et le harcèlement direct des employés et de leurs familles par appels téléphoniques et SMS.
Attaques Améliorées par l'IA	Des groupes comme Black Basta et FunkSec exploitent les grands modèles de langage (LLM) pour générer des e-mails de phishing sophistiqués et automatiser le développement d'exploits, rendant les attaques plus convaincantes et plus difficiles à détecter.
Exploitation de la Chaîne d'Approvisionnement	Le groupe de ransomware Clop a exploité des vulnérabilités zero-day dans Oracle E-Business Suite, affectant de grandes organisations, dont Cox Enterprises et Dartmouth College, par le biais de compromissions de la chaîne d'approvisionnement.
Armement d'Outils Légitimes	Les outils de gestion et de surveillance à distance (RMM) comme TeamViewer et AnyDesk sont utilisés de manière abusive pour le vol simultané de cargaisons physiques et le déploiement de ransomwares, contournant les contrôles de sécurité traditionnels.
Baisse des Paiements de Rançon	Seulement 49 % des victimes ayant des données chiffrées ont choisi de payer des rançons en 2025, contre 70 % en 2024, car les organisations adoptent de meilleures stratégies de sauvegarde et refusent de financer des entreprises criminelles.

Temps de Séjour Médian 5 Jours Temps entre la violation initiale et le chiffrement.

Double Extorsion 87% Attaques impliquant vol de données et chiffrement.

Triple Extorsion 29% Ajoute des attaques DDoS ou du harcèlement client.

Demande Moyenne 2,73 M$ Augmentation significative par rapport à 2 M$ début 2025.

Fenêtre de Réponse 4 Min Délai entre le chiffrement et la note de rançon.

Exfiltration de Données 1,2 TB Données sensibles volées en moins de 3 heures.

Tactiques d'Attaque et Vecteurs d'Entrée

Comprendre comment les opérateurs de ransomware obtiennent un accès initial et exécutent leurs attaques est crucial pour développer des défenses efficaces. En 2025, les attaquants utilisent un mélange sophistiqué d'exploits techniques et d'ingénierie sociale.

Vecteurs d'Entrée Principaux

32 % — Exploitation de vulnérabilités (appliances VPN non corrigées, systèmes de gestion de contenu obsolètes)
23 % — Identifiants volés (obtenus via des info-stealers et des campagnes de phishing)
18 % — E-mails de phishing (en hausse par rapport à 11 % en 2024, reflétant un contenu généré par IA amélioré)
Techniques Living-off-the-Land (LotL) — Abus des utilitaires Windows intégrés et BYOVD (Bring Your Own Vulnerable Driver) pour désactiver les solutions de détection et de réponse aux points finaux (EDR)
Attaques par outils légitimes — Exploitation de solutions RMM et de services de stockage cloud (OneDrive, Dropbox) pour le déploiement de ransomwares sans binaires malveillants traditionnels

Tactiques Avancées Employées en 2025

Tactique	Description	Groupes de Menace
Exploitation Zero-Day dans les ERP d'Entreprise	Ciblage des vulnérabilités dans Oracle E-Business Suite et d'autres systèmes de planification des ressources de l'entreprise pour compromettre des réseaux d'entreprise entiers et exfiltrer des données sensibles.	Clop
Phishing Vocal avec Clonage de Voix par IA	Appels téléphoniques usurpant l'identité du personnel de support informatique utilisant la génération de voix synthétique pour convaincre les employés de fournir des codes d'authentification multifacteur (MFA) et des identifiants.	Scattered Spider
Campagnes de Phishing Améliorées par l'IA	Génération d'e-mails de phishing et de pièces jointes malveillantes hautement personnalisés et contextuellement pertinents à l'aide de services de type ChatGPT, améliorant considérablement les taux de réussite.	Black Basta, FunkSec
Extorsion DDoS	Attaques par déni de service distribué simultanées ciblant l'infrastructure de la victime pour augmenter la pression et accélérer le paiement de la rançon lors des événements de chiffrement.	LockBit 4.0
Harcèlement des Employés	Menaces directes via SMS et appels téléphoniques aux employés et à leurs familles, publication d'adresses personnelles et d'autres informations personnelles pour contraindre les organisations à payer.	Plusieurs groupes

Incidents Majeurs de Ransomware en 2025

2025 a vu plusieurs attaques de ransomware très médiatisées affectant des infrastructures critiques, des systèmes de santé, des établissements d'enseignement et de grandes entreprises dans le monde entier. La chronologie suivante met en évidence les incidents les plus significatifs :

Date	Organisation / Pays	Groupe de Menace	Impact et Demande de Rançon
24 janvier	Big Cheese Studio (Pologne)	0mid16B	Fuite de code source avec demande de rançon de 25 000 $
27 janv. – 6 fév.	Episource LLC (USA)	Non divulgué	5,4 millions de dossiers médicaux exposés ; violation des informations de santé protégées (PHI)
Janvier	Sunflower Medical Group (USA)	Rhysida	220 968 dossiers médicaux de patients compromis ; rançon de 800 000 $
Janvier	Registre Foncier (Slovaquie)	Non divulgué	Transactions immobilières paralysées pendant 2 semaines
Janvier	DEphoto (Royaume-Uni)	0mid16B	555 000 clients + 16 000 cartes de paiement compromis ; photos d'enfants exposées
23 mars	Aéroport Int. de Kuala Lumpur (Malaisie)	Qilin	Systèmes de bagages et d'embarquement hors ligne pendant plus de 10 heures ; demande de rançon de 10 millions de dollars
Avril	NASCAR (USA)	Medusa	Numéros de sécurité sociale des fans divulgués ; rançon de 4 millions de dollars
Avril	DaVita Healthcare (USA)	Interlock	20 To de données volées affectant 2,7 millions de patients ; 13,5 millions de dollars de pertes
Juillet	Ingram Micro (Mondial)	SafePay	Fuite de données clients de 3,5 To ; perte de revenus de 136 millions de dollars par jour d'arrêt
Août	Maryland Transit Administration (USA)	Rhysida	Informations personnelles des employés exposées ; 30 BTC (3,4 millions de dollars) demandés
26 novembre	OnSolve / CodeRED (USA)	Inc	Système d'alerte d'urgence pour plus de 12 États compromis ; coordonnées divulguées
28 novembre	Asahi (Japon)	Qilin	1,5 million de clients touchés ; opérations de la brasserie arrêtées
28 novembre	Upbit (Corée du Sud)	Lazarus	30,4 millions de dollars en cryptomonnaie volés
Décembre	PowerSchool (USA)	Non divulgué	62 millions de dossiers d'étudiants compromis ; tentatives d'extorsion répétées ciblant les districts scolaires

Répartition Géographique et Industrielle

Les attaques de ransomware en 2025 continuent de montrer des modèles géographiques et sectoriels distincts, certaines régions et industries supportant un risque disproportionné.

Répartition Géographique (Janvier–Septembre 2025)

Région	Part des Incidents Mondiaux	Industries les Plus Ciblées
Amérique du Nord	46 %	Industrie, Santé, Éducation
Europe	24 %	Services Professionnels, Commerce de Détail, Gouvernement
Asie-Pacifique	10 %	Finance, Logistique
Moyen-Orient et Afrique	4 %	Énergie, Gouvernement

Industries les Plus Ciblées

Industrie Manufacturière — 660 attaques
Immobilier — 553 attaques
Services Professionnels — 487 attaques
Santé — Augmentation significative due à la nature critique des opérations
Énergie et Transports — Cibles d'infrastructures critiques

Étapes de l'Attaque par Ransomware Moderne – 2025

Le cycle de vie des attaques par ransomware a considérablement évolué. Les acteurs de la menace modernes opèrent avec une précision militaire, suivant une chronologie structurée que les équipes de sécurité peuvent traquer et perturber. Comprendre ces phases est essentiel pour mettre en œuvre des mesures défensives efficaces.

Phase 0 – Acquisition de Cibles

Avant que toute attaque technique ne commence, les acteurs de la menace effectuent une reconnaissance approfondie et une sélection des cibles :

Reconnaissance Pilotée par l'IA : Les outils d'analyse automatisés classent les cibles potentielles par « score de paiement » — analysant les revenus de l'entreprise, la couverture d'assurance cyber, les opérations critiques et la probabilité de paiement sur la base des données financières publiques et de l'historique des violations.
Acquisition d'Accès : Achat d'identifiants VPN compromis, de comptes Outlook Web Access (OWA), de passerelles Citrix ou d'exploits zero-day auprès de courtiers d'accès initial (IAB) sur les marchés du darknet.

Phase 1 – Point d'Appui Initial

Établissement d'une présence persistante dans l'environnement cible :

Vecteurs de Livraison : Campagnes de phishing, fausses mises à jour logicielles empoisonnées par le SEO, clés USB livrées par courrier ou exploitation directe de vulnérabilités exposées sur Internet.
Techniques d'Exécution : Binaires living-off-the-land (LOLBAS), obfuscation PowerShell, outils système légitimes utilisés à des fins malveillantes. Les implants sont des chargeurs légers pour échapper à la détection.
Mécanismes de Persistance : Tâches planifiées, objets de stratégie de groupe (GPO), runbooks d'automatisation cloud ou abonnements aux événements WMI pour survivre aux redémarrages et maintenir l'accès.

Phase 2 – Expansion Interne

Le temps de séjour médian en 2025 n'est que de 5 jours entre l'accès initial et le déploiement du chiffrement :

Commande et Contrôle (C2) : Trafic HTTPS avec front CDN, domain fronting via des services cloud légitimes (Azure, CloudFlare) ou des ressources de calcul en périphérie pour se fondre dans le trafic normal.
Opérations de Découverte : Cartographie Active Directory, inventaire des systèmes de sauvegarde (critique pour le sabotage), reconnaissance IAM cloud et identification des référentiels de données sensibles.
Escalade de Privilèges : Attaques Kerberoasting, exploitation des services de certificats Active Directory (ADCS), attaques par rejeu de jetons ou exploits d'escalade de privilèges zero-day.
Mouvement Latéral : Connexions RDP, PowerShell remoting (PS-Remoting) ou outils de gestion et de surveillance à distance (RMM) armés comme TeamViewer, AnyDesk et ScreenConnect.

Phase 3 – Préparation Pré-Impact

Phase de sabotage critique conçue pour assurer un maximum de dégâts et empêcher la récupération :

Exfiltration de Données : En utilisant Rclone, Mega.nz, IPFS ou des outils personnalisés, les attaquants exfiltrent en moyenne 1,2 To de données sensibles en moins de 3 heures. Ces données deviennent un levier pour la double extorsion.
Sabotage Défensif : Les attaquants démantèlent systématiquement les options de récupération en supprimant les clichés instantanés de volume (VSS), en effaçant les instantanés VMware ESXi et en détruisant les catalogues de sauvegarde. Ils désactivent également activement les agents de détection et de réponse aux points finaux (EDR) en utilisant des techniques « Bring Your Own Vulnerable Driver » (BYOVD) pour aveugler les équipes de sécurité avant la frappe finale.

Phase 4 – Extorsion

La phase d'impact final où les demandes de rançon sont émises :

Chiffrement Rapide : Clés de chiffrement pré-étagées utilisant les algorithmes ChaCha20 + RSA déployées sur le réseau en moins de 60 secondes. Les ransomwares modernes peuvent chiffrer 220 000 fichiers en 4,5 minutes.
Modèle de Triple Extorsion (29 % des attaques en 2025) : Au-delà de la rançon traditionnelle pour les clés de déchiffrement, les attaquants ajoutent désormais une pression supplémentaire en menaçant de publier des données volées sur des sites de fuite (double extorsion) et en lançant des attaques par déni de service distribué (DDoS) contre l'infrastructure publique de la victime (triple extorsion) pour forcer le paiement.
Tactiques de Pression Agressives : Comptes à rebours en direct, spam aux clients et partenaires, menaces vocales aux dirigeants utilisant des voix clonées par IA, contact direct avec les clients des victimes menaçant d'exposer des données.
Délai Chiffrement-Note : Moyenne de 4 minutes entre la fin du chiffrement et la livraison de la note de rançon, laissant une fenêtre de réponse minimale.

Déclencheurs de Chasse Critiques pour les Équipes SOC

Les centres d'opérations de sécurité doivent surveiller ces indicateurs de haute fidélité d'activité de ransomware :

Anomalies d'Empreinte JA3 TLS : Connexions SSL/TLS vers des domaines nouvellement enregistrés (moins de 24 heures), en particulier avec des suites de chiffrement peu courantes.
Requêtes LDAP Suspectes : Requêtes LDAP pour adminCount=1 (comptes privilégiés) provenant de postes de travail non administratifs — indique une reconnaissance pour des cibles d'escalade de privilèges.
Exécution de Rclone.exe : L'outil légitime de synchronisation cloud Rclone lancé par SYSTEM ou s'exécutant avec des arguments de ligne de commande suspects — outil d'exfiltration de données courant.
Opérations sur Fichiers à Haute Entropie : Opérations d'écriture de fichiers avec une entropie supérieure à 0,96 (indiquant un chiffrement) affectant plus de 100 partages réseau en 5 minutes — activité de chiffrement de ransomware définitive.
Commandes de Suppression VSS : Exécution de vssadmin delete shadows, wmic shadowcopy delete ou bcdedit /set {default} recoveryenabled no.
Abus d'Outils RMM : Installation ou exécution inattendue d'AnyDesk, TeamViewer, ScreenConnect à partir de comptes Système ou en dehors des heures de bureau.

Types de ransomware

Le ransomware a évolué en plusieurs catégories distinctes, chacune avec des comportements et des méthodes d'extorsion uniques. Comprendre ces types est crucial pour identifier la menace :

1. Crypto-Ransomware (Chiffreurs)

Les Chiffreurs sont la variante la plus répandue et la plus dommageable dans le paysage des menaces modernes. Ce type infiltre un système et chiffre des fichiers précieux (documents, photos, bases de données) en utilisant des algorithmes de chiffrement de qualité militaire (comme AES-256 ou RSA-2048). Le contenu devient complètement inaccessible sans la clé de déchiffrement unique détenue par les attaquants. Des exemples incluent LockBit, Ryuk et WannaCry.

2. Verrouilleurs (Lockers)

Les Verrouilleurs ne chiffrent pas de fichiers spécifiques mais vous verrouillent complètement hors de votre système d'exploitation ou de votre interface utilisateur. Une note de rançon en plein écran s'affiche, souvent avec un compte à rebours pour créer un sentiment d'urgence. Bien que vos fichiers restent techniquement intacts, ils sont inaccessibles tant que le système n'est pas déverrouillé. Ce type était plus courant dans les premières vagues de ransomwares mais apparaît toujours dans les malwares mobiles.

3. Scareware

Le Scareware est un logiciel trompeur qui se fait passer pour un outil de sécurité légitime. Il prétend avoir détecté des virus inexistants ou des problèmes critiques sur votre ordinateur et vous bombarde agressivement d'alertes pop-up. Il exige un paiement pour une « version complète » afin de résoudre ces faux problèmes. Certains scarewares agressifs peuvent verrouiller l'ordinateur, tandis que d'autres ennuient simplement l'utilisateur pour qu'il paie.

4. Doxware ou Leakware

Le Leakware (également connu sous le nom de Doxware) exploite la menace d'exposition des données plutôt que la perte de données. Les attaquants exfiltrent des informations personnelles ou professionnelles sensibles et menacent de les publier ou de les vendre sur le dark web à moins qu'une rançon ne soit payée. Cette tactique est particulièrement efficace contre les entreprises ayant des exigences de conformité strictes (RGPD, HIPAA) ou les individus ayant des données privées sensibles. Une variante est le ransomware à thème policier, qui se fait passer pour les forces de l'ordre pour accuser la victime d'activité illégale et exige une « amende » pour éviter l'arrestation.

5. RaaS (Ransomware as a Service)

Le Ransomware as a Service (RaaS) n'est pas un type de malware mais un modèle commercial qui alimente l'économie moderne des ransomwares. Des développeurs principaux professionnels créent la souche de ransomware et l'infrastructure de paiement, puis la louent à des « affiliés » (hackers moins qualifiés) qui mènent les attaques réelles. Les bénéfices sont partagés, les affiliés conservant généralement 70 à 80 % et les développeurs prenant le reste. Ce modèle a conduit à l'explosion des attaques de ransomware en abaissant la barrière à l'entrée pour les cybercriminels.

Dernières attaques de ransomware

Familles de Ransomware Actives en 2025

Les groupes de ransomware suivants restent très actifs en 2025, responsables de la majorité des attaques contre les organisations dans le monde :

LockBit 4.0 — Malgré les perturbations des forces de l'ordre en 2024, LockBit a resurgi avec la version 4.0, intégrant des tactiques d'extorsion DDoS et des vitesses de chiffrement plus rapides. Reste l'une des opérations de ransomware-as-a-service (RaaS) les plus prolifiques, responsable de nombreuses attaques d'infrastructures critiques en 2025.
Qilin (Agenda) — Groupe très sophistiqué ciblant les infrastructures critiques, notamment les aéroports et les soins de santé. Responsable de l'attaque de l'aéroport de Kuala Lumpur (mars 2025, demande de 10 M$) et de la perturbation de la brasserie Asahi (novembre 2025). Utilise un chiffrement basé sur Rust et se concentre sur des cibles d'entreprise de grande valeur.
Rhysida — Opération RaaS active ciblant les secteurs de la santé, de l'éducation et du gouvernement. Les attaques notables en 2025 incluent Sunflower Medical Group (220 968 dossiers de patients) et la Maryland Transit Administration (rançon de 30 BTC/3,4 M$). Connu pour la triple extorsion et les opérations de sites de fuite de données.
Black Basta — Émergé de la dissolution de Conti, employant des campagnes de phishing améliorées par l'IA utilisant de grands modèles de langage (LLM) pour créer des attaques d'ingénierie sociale convaincantes. Se concentre sur les cibles d'entreprise avec des temps de déploiement rapides et des méthodes d'infiltration sophistiquées.
Akira — L'un des groupes les plus actifs en 2025, exploitant les vulnérabilités VPN et ciblant les secteurs manufacturier, de la santé et financier. Utilise des tactiques de double extorsion et maintient un site de fuite actif. Connu pour cibler les vulnérabilités Cisco VPN et Citrix.
Medusa — Responsable d'attaques majeures en 2025, dont NASCAR (fuite de données SSN, rançon de 4 M$). Exploite un modèle RaaS avec des partenariats d'affiliation. Notable pour une extorsion agressive en plusieurs étapes, y compris le contact direct avec les clients et partenaires des victimes.
Play — Cible les infrastructures critiques et les grandes entreprises en utilisant des techniques de chiffrement intermittent pour échapper à la détection. Actif tout au long de 2025 avec des attaques contre des agences gouvernementales et des établissements d'enseignement. Utilise la double extorsion avec un site de fuite dédié.
Cl0p (Clop) — Spécialiste de la chaîne d'approvisionnement et de l'exploitation zero-day, ciblant particulièrement les applications de transfert de fichiers et les systèmes ERP d'entreprise. Responsable de la campagne Oracle E-Business Suite affectant Cox Enterprises et Dartmouth College. Pionnier des tactiques d'exploitation de masse pour un nombre maximal de victimes.
ALPHV/BlackCat — Ransomware basé sur Rust connu pour sa flexibilité et ses capacités multiplateformes (Windows, Linux, ESXi). Poursuit ses opérations malgré les tentatives de perturbation du FBI. Utilise la triple extorsion, y compris les appels aux clients et partenaires des victimes. Notable pour son programme d'affiliation sophistiqué.
Interlock — Responsable de l'attaque de DaVita Healthcare (avril 2025, 2,7 M de patients, 13,5 M$ de pertes). Cible la santé et les services critiques avec un chiffrement rapide et une exfiltration complète des données avant le déploiement du chiffrement.
RansomHub — Opération RaaS à croissance rapide qui a attiré des affiliés d'opérations fermées. Connu pour un chiffrement rapide et un support multiplateforme. Cible les organisations de tous les secteurs en mettant l'accent sur l'exfiltration des données avant le chiffrement.
Fog (Variante d'Akira) — Utilise des VPN SonicWall exploités pour l'accès initial. Cible les secteurs de l'éducation et de la santé. Emploie la double extorsion avec une infrastructure de fuite dédiée. Lié aux opérations d'Akira mais opère indépendamment.
Scattered Spider (0ktapus) — Groupe sophistiqué utilisant le phishing vocal avec des voix deepfake générées par IA pour contourner le MFA. Cible les fournisseurs d'identité, les télécommunications et les sociétés d'externalisation. Connu pour son expertise en ingénierie sociale et ses campagnes de « vishing ».
8Base — Extrêmement actif tout au long de 2025, ciblant les petites et moyennes entreprises. Utilise la double extorsion avec un site de fuite dédié. On pense qu'il a des liens avec l'infrastructure REvil. Se concentre sur des attaques rapides contre des organisations moins protégées.
Cactus — Utilise des identifiants VPN volés et exploite les vulnérabilités Fortinet pour l'accès initial. Cible les secteurs manufacturier, des services financiers et technologique. Emploie un chiffrement sophistiqué avec des méthodes d'exfiltration de données uniques via des tunnels SSH.

Opérations Défuntes : Conti (dissous mi-2022), Avaddon (fermeture mai 2021), Egregor (perturbé en 2021) et Hive (saisi par le FBI en 2023) ne sont plus actifs, bien que leurs techniques et membres aient migré vers des opérations plus récentes énumérées ci-dessus.

Est-ce une solution de payer la rançon ?

La majorité des revenus que reçoivent les développeurs de ransomware sont utilisés pour financer diverses activités illégales, telles que le terrorisme, d'autres campagnes de distribution de logiciels malveillants, le trafic de drogue, etc. Étant donné que tous les paiements de rançon sont effectués en cryptomonnaies, il n'y a aucun moyen de découvrir l'identité des escrocs. Cependant, les adresses e-mail peuvent parfois désigner des distributeurs de ransomwares au Moyen-Orient.

Comme vous pouvez déjà le conclure, payer la rançon équivaut à participer à des activités illégales. Bien sûr, personne ne vous reprochera de financer le terrorisme. Mais il n'est pas agréable de comprendre que l'argent que vous obtenez pour un travail honnête est dépensé pour le terrorisme ou la drogue. Souvent, même les grandes entreprises qui subissent un chantage avec des menaces de publier des données internes ne paient pas un centime à ces escrocs.

Comment se protéger des ransomwares en 2025 ?

L'évolution du paysage des menaces de ransomware exige une stratégie de défense à plusieurs niveaux. Sur la base de l'analyse des attaques de 2025, les organisations et les individus devraient mettre en œuvre les mesures de protection complètes suivantes :

Contrôles de Sécurité Essentiels

Architecture Zero-Trust et Segmentation du Réseau : Mettez en œuvre des modèles de sécurité zero-trust qui vérifient chaque demande d'accès, quelle que soit la source. Segmentez les systèmes et les données critiques pour limiter les mouvements latéraux si les attaquants franchissent le périmètre.
Authentification Multifacteur (MFA) sur Tous les Accès Distants : Exigez le MFA pour toutes les connexions VPN, le protocole de bureau à distance (RDP) et les outils de gestion et de surveillance à distance (RMM). Cela empêche les attaques basées sur les identifiants qui représentent 23 % des incidents de ransomware.
Gestion Opportune des Correctifs : Donnez la priorité à l'application de correctifs aux systèmes exposés à Internet, y compris les appliances VPN, les systèmes ERP d'entreprise (Oracle E-Business Suite, SAP) et les plateformes de gestion de contenu. 32 % des attaques exploitent des vulnérabilités non corrigées.
Tests de Sauvegarde Trimestriels : Effectuez des tests réguliers des procédures de restauration de sauvegarde dans des environnements isolés. Assurez-vous que les sauvegardes sont stockées hors ligne ou dans un stockage immuable pour empêcher les ransomwares de les chiffrer. Vérifiez que les objectifs de temps de récupération (RTO) répondent aux exigences de l'entreprise.
Détection et Réponse aux Points Finaux (EDR) : Déployez des solutions EDR avancées capables de détecter les techniques Living-off-the-Land (LotL) et les attaques BYOVD (Bring Your Own Vulnerable Driver) qui tentent de désactiver les contrôles de sécurité.

Formation de Sensibilisation aux Menaces de 2025

Reconnaissance du Phishing Généré par IA : Formez les employés à identifier les tentatives de phishing sophistiquées créées par de grands modèles de langage (LLM). Insistez sur la vérification des demandes inattendues, même lorsque les e-mails semblent rédigés de manière professionnelle et contextuellement pertinents.
Protocoles de Vérification des Appels Vocaux : Établissez des procédures obligeant les employés à vérifier les appels vocaux prétendant provenir du support informatique par des canaux indépendants. Le clonage de voix par IA rend l'ingénierie sociale par téléphone de plus en plus convaincante.
Prudence avec les Macros et les Pièces Jointes : Continuez à renforcer la sensibilisation aux pièces jointes des e-mails, en particulier les fichiers Microsoft Office demandant l'activation de macros. Bien qu'il s'agisse d'un vecteur traditionnel, l'e-mail reste un point d'entrée d'attaque principal (18 % des incidents).

Mesures de Protection Avancées

Désactiver l'Exposition RDP Inutile : Fermez les ports RDP externes et exigez un accès VPN avant d'autoriser les connexions de bureau à distance. Surveillez et limitez l'utilisation de RDP au personnel essentiel uniquement.
Liste Blanche d'Applications : Mettez en œuvre des politiques de contrôle des applications qui n'autorisent que l'exécution de logiciels approuvés, empêchant les binaires de ransomware non autorisés de s'exécuter.
Passerelles de Sécurité de Messagerie : Déployez un filtrage de messagerie avancé capable de détecter le contenu de phishing généré par IA et de mettre en bac à sable les pièces jointes suspectes avant leur livraison dans les boîtes de réception des utilisateurs.
Planification de la Réponse aux Incidents : Développez et testez régulièrement des plans de réponse aux incidents spécifiquement pour les scénarios de ransomware. Incluez des procédures pour isoler les systèmes infectés, activer les sauvegardes et impliquer les forces de l'ordre et les experts en cybersécurité.

Protection Anti-Malware

Habituellement, les programmes anti-malware mettent à jour leurs bases de données de détection tous les jours. GridinSoft Anti-Malware peut vous offrir des mises à jour horaires, ce qui diminue les risques qu'un tout nouvel échantillon de ransomware infiltre votre système. Cependant, l'utilisation d'un logiciel anti-malware n'est pas une panacée. Il serait préférable que vous soyez prudent dans tous les endroits à risque. Ce sont :

Messages électroniques. La plupart des cas de ransomware, quelle que soit la famille, sont liés à des messages électroniques malveillants. Les gens ont l'habitude de faire confiance à tous les messages envoyés par e-mail et ne pensent pas que quelque chose de malveillant puisse se trouver à l'intérieur du fichier joint. Pendant ce temps, les cyber-cambrioleurs utilisent cette faiblesse et incitent les gens à activer les macros dans les fichiers Microsoft Office. Les macros sont une application spécifique qui permet d'augmenter l'interaction avec le document. Vous pouvez construire n'importe quoi sur Visual Basic et l'ajouter au document sous forme de macros. Les escrocs, sans plus y penser, ajoutent du code de ransomware.
Utilitaires douteux et programmes non fiables. Vous pouvez voir divers conseils en naviguant sur le Web. Forums en ligne, réseaux sociaux et réseaux de partage - ces endroits sont connus comme sources de divers outils spécifiques. Et il n'y a rien de mal dans de tels logiciels - parfois, les gens ont besoin de fonctions qui ne sont pas demandées (ou acceptées) pour la production d'entreprise. De tels outils sont des soi-disant keygens pour diverses applications, des activateurs de clés de licence (KMS Activator est l'un des plus connus) et des utilitaires pour le réglage des éléments du système. La plupart des moteurs anti-malware détectent ces applications comme malveillantes, vous désactiverez donc probablement l'antivirus ou ajouterez l'application à la liste blanche. Pendant ce temps, cet utilitaire peut être propre ou infecté par des chevaux de Troie ou des ransomwares.

Foire Aux Questions

Qu'est-ce que le ransomware et comment fonctionne-t-il en 2025 ?

Le ransomware est un logiciel malveillant qui chiffre les fichiers sur les appareils des victimes et exige le paiement d'une rançon pour les clés de déchiffrement. En 2025, le ransomware a évolué pour inclure des tactiques de triple extorsion (chiffrement + vol de données + attaques DDoS), un phishing amélioré par l'IA et des délais de déploiement plus rapides (médiane de 5 jours entre l'intrusion et le chiffrement). Les ransomwares modernes utilisent un chiffrement AES-256 ou RSA-2048, générant des clés en ligne uniques pour chaque victime qui sont pratiquement impossibles à casser sans la clé de déchiffrement de l'attaquant.

Le ransomware peut-il se propager via le Wi-Fi ou les connexions réseau ?

Oui, le ransomware peut se propager via les connexions réseau, bien que pas via le Wi-Fi lui-même. Dans les environnements d'entreprise, les attaquants obtiennent des privilèges d'administrateur et déploient des ransomwares sur tous les ordinateurs connectés au réseau simultanément. Le logiciel malveillant se propage via des répertoires réseau partagés et exploite des techniques de mouvement latéral. Cependant, les utilisateurs à domicile ne peuvent généralement pas être infectés sans avoir d'abord autorisé les attaquants à accéder à leur appareil via du phishing, des téléchargements malveillants ou des vulnérabilités exploitées.

Dois-je payer la rançon si mes fichiers sont chiffrés ?

Les experts en sécurité et les forces de l'ordre déconseillent fortement de payer les rançons. En 2025, seulement 49 % des victimes ont payé des rançons (contre 70 % en 2024), reconnaissant que le paiement ne garantit pas la récupération des fichiers et finance des opérations criminelles, y compris le terrorisme et le trafic de drogue. De plus, payer vous marque comme une cible rentable pour de futures attaques. Signalez plutôt l'incident aux forces de l'ordre, consultez des professionnels de la cybersécurité et tentez une récupération à partir de sauvegardes. Les organisations disposant de stratégies de sauvegarde appropriées peuvent récupérer sans payer, avec des coûts de récupération moyens de 1,53 million de dollars contre des demandes de rançon moyennes de 2 millions de dollars.

Quelles sont les façons les plus courantes dont les ransomwares infectent les systèmes en 2025 ?

En 2025, les principaux vecteurs d'infection sont : (1) Exploitation de vulnérabilités (32 % des attaques) ciblant les appliances VPN non corrigées, les CMS obsolètes et les systèmes ERP comme Oracle E-Business Suite ; (2) Identifiants volés (23 %) obtenus via des info-stealers et du phishing ; (3) E-mails de phishing (18 %, en hausse par rapport à 11 % en 2024) utilisant un contenu généré par IA qui semble très légitime ; (4) Attaques de la chaîne d'approvisionnement exploitant les fournisseurs de logiciels et les fournisseurs de services gérés ; (5) Armement d'outils RMM légitimes comme TeamViewer et AnyDesk. Les attaques modernes utilisent également le phishing vocal avec clonage de voix par IA pour inciter les employés à fournir des codes MFA.

Comment puis-je protéger mon ordinateur contre les ransomwares en 2025 ?

Les mesures de protection essentielles comprennent : (1) Mise en œuvre d'une architecture Zero-Trust avec segmentation du réseau pour limiter les mouvements latéraux ; (2) Activation de l'authentification multifacteur (MFA) sur tous les points d'accès VPN, RDP et RMM ; (3) Maintien d'une gestion des correctifs en temps opportun, en particulier pour les systèmes exposés à Internet et les plateformes ERP ; (4) Réalisation de tests de sauvegarde trimestriels avec stockage hors ligne ou immuable ; (5) Déploiement de solutions de détection et de réponse aux points finaux (EDR) capables de détecter les techniques living-off-the-land ; (6) Formation des employés à reconnaître le phishing généré par IA et établissement de protocoles de vérification des appels vocaux pour lutter contre les attaques deepfake ; (7) Désactivation de l'exposition RDP inutile et utilisation de listes blanches d'applications ; (8) Maintien du logiciel anti-malware à jour avec des mises à jour de signature horaires si possible.

Le ransomware est-il un crime et dois-je le signaler aux autorités ?

Oui, le ransomware est un cybercrime grave punissable par les lois fédérales et étatiques. Créer, distribuer des ransomwares et collecter des paiements de rançon constituent des infractions pénales. Vous devez signaler les attaques de ransomware aux forces de l'ordre, bien que seulement 40 % des victimes l'aient fait en 2025 (contre 52 % en 2024). Aux États-Unis, signalez-le au Centre de plaintes pour les crimes sur Internet (IC3) du FBI ou au bureau local du FBI. Vous pouvez également contacter l'Agence de cybersécurité et de sécurité des infrastructures (CISA). Les victimes internationales doivent contacter leurs unités nationales de cybercriminalité. Le signalement aide les forces de l'ordre à suivre les acteurs de la menace, à récupérer potentiellement des clés de déchiffrement et à perturber les opérations criminelles.

Les systèmes Windows modernes sont-ils vulnérables aux ransomwares ?

Toutes les versions de Windows restent vulnérables aux attaques de ransomware, bien que Windows 11 inclue des fonctionnalités de sécurité améliorées telles qu'un Windows Defender renforcé, une isolation matérielle et une sécurité améliorée dans les composants sensibles du système. Cependant, les développeurs de ransomwares font continuellement évoluer leurs tactiques. En 2025, 47 % des utilisateurs de Windows ont rencontré des logiciels publicitaires ou des programmes potentiellement indésirables, et les attaques de ransomware ont augmenté de 46 % d'une année sur l'autre. La vulnérabilité découle généralement du comportement de l'utilisateur (cliquer sur des liens de phishing, activer des macros), de systèmes non corrigés (32 % des attaques exploitent des vulnérabilités) et d'identifiants volés (23 % des attaques) plutôt que de faiblesses inhérentes à Windows. Aucun système d'exploitation n'est immunisé – des pratiques de sécurité appropriées et une défense en profondeur sont essentielles.

Qu'est-ce que le ransomware à triple extorsion ?

Le ransomware à triple extorsion, présent dans 87 % des attaques de 2025, combine trois tactiques de pression : (1) Chiffrement de fichiers traditionnel exigeant une rançon pour le déchiffrement ; (2) Exfiltration de données avec menaces de publier des informations sensibles volées sur des sites de fuite ; (3) Attaques supplémentaires telles que l'inondation DDoS de l'infrastructure de l'entreprise, le harcèlement téléphonique des employés et de leurs familles, ou des menaces par SMS. Certains groupes exigent également une « compensation pour interruption d'activité » pour les temps d'arrêt opérationnels causés. Cette approche à plusieurs volets augmente la pression sur les victimes pour qu'elles paient et s'est avérée très efficace pour les acteurs de la menace, bien qu'elle n'ait pas augmenté les taux de paiement car les organisations améliorent leurs stratégies de sauvegarde et leur résilience.

Les fichiers chiffrés par ransomware peuvent-ils être déchiffrés gratuitement ?

Parfois, mais il n'y a aucune garantie. Le déchiffrement gratuit est possible si : (1) Le ransomware a utilisé une clé de chiffrement hors ligne (partagée entre plusieurs victimes), que les chercheurs en sécurité pourraient éventuellement casser ; (2) Les forces de l'ordre arrêtent les opérateurs et saisissent les clés de déchiffrement de leurs serveurs ; (3) Le gang de ransomware publie volontairement les clés (rare, comme GandCrab en 2018) ; (4) Les chercheurs en sécurité découvrent des failles dans l'implémentation du chiffrement. Cependant, les ransomwares modernes utilisant des clés en ligne uniques avec un chiffrement AES-256 ou RSA-2048 sont pratiquement incassables sans la clé de l'attaquant. Consultez des ressources comme le projet No More Ransom pour les déchiffreurs disponibles. Le temps d'attente pour les clés de déchiffrement peut aller de quelques semaines à des mois ou jamais, ce qui rend les stratégies de prévention et de sauvegarde beaucoup plus fiables que d'espérer un déchiffrement gratuit.

Quels ont été les plus grands attaques de ransomware en 2025 ?

Les incidents majeurs de 2025 incluent : PowerSchool (décembre) affectant 62 millions de dossiers d'étudiants avec des tentatives d'extorsion répétées ; Upbit (novembre) avec un vol de crypto-monnaie de 30,4 millions de dollars par le groupe Lazarus ; Asahi Brewery (novembre) impactant 1,5 million de clients et arrêtant les opérations ; OnSolve/CodeRED (novembre) compromettant les systèmes d'alerte d'urgence pour plus de 12 États américains ; Maryland Transit Administration (août) exigeant 30 BTC (3,4 millions de dollars) ; Ingram Micro (juillet) perdant 136 millions de dollars de revenus par jour avec une violation de données de 3,5 To ; DaVita Healthcare (avril) affectant 2,7 millions de patients avec 13,5 millions de dollars de pertes ; NASCAR (avril) divulguant les numéros de sécurité sociale des fans pour une rançon de 4 millions de dollars ; Aéroport de Kuala Lumpur (mars) avec une panne de plus de 10 heures et une demande de 10 millions de dollars. Ces incidents démontrent l'évolution des ransomwares vers les infrastructures critiques et les cibles de grande valeur.