concept w - stock.adobe.com

Ransomware : le mois de mars clôture un trimestre record

Le mois de mars 2025 s’est inscrit dans la continuité des deux précédents, marquant un début d’année d’une violence inégalée sur le front des rançongiciels, jusqu’en France. Et rien ne présage d’une rapide accalmie.

En mars 2025, ransomware.live a compté près de 640 revendications sur des sites vitrine d’enseignes de ransomware. Au total, après l’intégration des cas constatés dans la presse internationale et les corrections des dates de survenue d’attaque, nous comptons 590 cyberattaques et revendications à travers le monde. 

Ce décalage s’explique notamment par le délai de revendication observé chez plusieurs enseignes – de quelques semaines à plusieurs mois. On pense bien sûr à Akira, mais cela vaut aussi pour INC Ransom ou RansomHub et encore Qilin, pour ne prendre qu’eux en exemple. 

En outre, nous n’avons compté la série de victimes de Cl0p avec l’exploitation en masse de la vulnérabilité CVE-2024-50623 que comme un cas ; une vaste campagne qui a conduit à la revendication de plus de 300 victimes le mois dernier.

Il faut également compter avec les revendications de FunkSec et de KillSec, connues pour être particulièrement fantaisistes, ou celles du vrai-faux nouveau Babuk2, qui apparaît recycler essentiellement des données volées antérieurement et proposées à la vente sur des forums bien connus. La filiale roumaine d’Orange en est passée par là.

Ainsi, à ce jour, nous avons pu estimer et/ou confirmer la date de survenue de plus de 20 % des attaques revendiquées en mars 2025, près de 33 % en février, et plus de 28 % en janvier. Les nouvelles estimations établies nous font relever le compte de cyberattaque et revendications à 572 pour février 2025, et 509 en janvier.

Pour le groupe Play, nous dépassons désormais les 75 % de revendications survenues en 2024 pour lesquelles une estimation de date de survenue est disponible, ou encore 41 % pour RansomHub. Pour l’ensemble des cyberattaques revendiquées ou rapportées en 2024, nous approchons des 28 % de cas dont la date de survenue effective est confirmée ou estimée, contre un peu plus de 25 % pour 2025.

À ce stade, il apparaît évident que le premier trimestre de l’année marque un niveau record pour la menace des rançongiciels, dans le monde entier. Et il semble peu vraisemblable que les ajustements à venir, après examen des revendications à venir en avril, changent profondément cette analyse.

Si l’Amérique du Nord s’inscrit toujours en tête des régions touchées par la menace, son niveau observable a considérablement augmenté dans la région Allemagne-Autriche-Suisse (DACH), avec un niveau record de cas, supérieur même à celui d’avril 2024. La région Asie-Pacifique (APAC) a également connu, le mois dernier, une forte progression de signalements.

En France, si la menace apparaît s’inscrire à un niveau inférieur à celui de janvier, il n’en reste pas moins particulièrement élevé, au-delà des niveaux de décembre 2024 et février 2025. En mars, Cybermalveillance.gouv.fr a ainsi reçu plus de 190 demandes d’assistance pour cyberattaque avec ransomware (hors particulier).

Et l’avenir n’est probablement pas radieux. Selon Prodaft, la franchise RansomHouse supporte désormais le chinois pour ses affidés, tandis que Qilin aurait réussi à recruter des affidés venus de Corée du Nord – entre autres.

Le reste de l’actualité en bref

  • Un nouvel opérateur de ransomware, désigné sous la référence Mora_001 par ForeScout, exploite deux vulnérabilités critiques des pare-feu Fortinet, CVE-2024-55591 et CVE-2025-24472, pour obtenir un accès non autorisé et déployer une version modifiée du ransomware LockBit, appelée SuperBlack. Après avoir accédé au système, l’attaquant crée des comptes administrateurs persistants, exfiltre les configurations des pare-feu et utilise l’accès VPN pour se déplacer latéralement dans le réseau, ciblant sélectivement les serveurs de fichiers pour le chiffrement après le vol de données. Cette campagne illustre la tendance croissante à exploiter les appareils de sécurité périmétriques et la complexité croissante du paysage des ransomwares.
  • En février 2025, des fuites de conversations internes ont révélé que le groupe de ransomware Black Basta utilisait un outil automatisé, nommé BRUTED, pour mener des attaques par force brute sur des dispositifs réseau périphériques, tels que des pare-feu et des solutions VPN. Selon les analyses d’EclecticIQ, cet outil permettait au groupe de scanner Internet et d’exploiter des identifiants faibles ou réutilisés afin d’obtenir un accès initial aux réseaux cibles, facilitant ainsi les mouvements latéraux et le déploiement de ransomwares. Ces révélations ont perturbé les opérations de Black Basta, certains membres ayant rejoint d’autres groupes de ransomware.
  • Selon Symantec, un affilié du groupe RansomHub a récemment utilisé un nouveau cheval de Troie personnalisé, nommé Betruger, pour mener des attaques de ransomware. Betruger est un logiciel malveillant multifonctionnel capable de réaliser des captures d’écran, d’enregistrer les frappes au clavier, de télécharger des fichiers vers un serveur de commande et de contrôle, de scanner le réseau, d’escalader les privilèges et d’extraire des identifiants. Cette approche reflète une tendance croissante parmi les opérateurs de ransomware à développer des outils sur mesure pour optimiser leurs attaques.
  • Le groupe de ransomware BlackLock, actif depuis mars 2024, et aussi appelé Eldorado, a vu ses opérations perturbées grâce aux efforts de la société de cybersécurité Resecurity, qui a découvert une vulnérabilité critique dans leur infrastructure pendant les vacances de fin d’année. En exploitant cette faille, Resecurity a pu accéder aux données compromises et avertir les victimes potentielles avant que BlackLock ne puisse exiger des rançons. Cette intervention a non seulement entravé les activités de BlackLock, mais également mis en lumière l’importance de surveiller et d’exploiter les failles des cybercriminels pour protéger les organisations contre les menaces de ransomware.

Pour approfondir sur Menaces, Ransomwares, DDoS