LALAKA - stock.adobe.com

Ransomware : l’activité de Cactus apparaît exploser

L’enseigne, active depuis au moins le printemps 2023, connaît récemment une forte accélération de ses opérations. Son compte de revendications a progressé de 25 % depuis le début de l’année.

Le site vitrine de l’enseigne de rançongiciel Cactus est publiquement connu depuis juillet 2023. Les premières victimes qui y ont été revendiquées apparaissent avoir été attaquées trois mois plus tôt.

Kroll a compté parmi les premiers à documenter l’activité de Cactus, en mai 2023, faisant remonter les débuts de l’enseigne à mars 2023, avec l’exploitation de vulnérabilités affectant des appliances VPN pour établir son accès initial. 

Tout au long des deux dernières années, l’enseigne a maintenu une activité régulière à un niveau d’observabilité relativement modéré (avec toutefois des hauts et bas). Mais tout cela apparaît avoir changé radicalement début 2025.

À ce jour, près de 250 victimes ont été revendiquées sur le site vitrine de Cactus. Un chiffre cohérent avec un compteur interne visible dans le code des pages Web du site vitrine. 

Mais voilà, ce compteur affichait 200 fin 2024 ; il flirte désormais avec 250 : une progression de 25 % en l’espace de moins de 3 mois. Les estimations de date de survenue effective des attaques revendiquées chez Cactus confortent cette observation. 

Nous avons pu conduire cette estimation pour près de 80 % des revendications survenues en janvier et février, ainsi que pour toutes celles de 2024. Ce qui nous donne 91 victimes effectivement attaquées en 2024, parmi celles revendiquées, et 46 pour les deux premiers mois de 2025.

C’est fin juin 2024 que des affidés de Black Basta semblent avoir commencé à quitter le navire en nombre. Désormais, ce gang paraît en phase d’implosion, une situation qui bénéficie clairement à Akira, mais profiterait aussi à Cactus. 

Début mars, Trend Micro s’est penché sur un maliciel connu pour être utilisé par des acteurs associés à Black Basta, mais également observé dans des cas de déploiement du rançongiciel Cactus. 

Et l’éditeur de l’assurer : « depuis janvier 2025, nos équipes de renseignement sur les menaces ont observé un changement probable dans les affiliations de certains acteurs de la menace associés à Black Basta. Plus précisément, certains éléments suggèrent que des membres sont passés du groupe de ransomwares Black Basta au groupe de ransomwares Cactus. Cette conclusion est tirée de l’analyse de tactiques, techniques et procédures (TTP) similaires utilisées par le groupe Cactus ».

Pour approfondir sur Menaces, Ransomwares, DDoS