Ransomware : que devient RansomHub ?

Le site vitrine de la franchise mafieuse RansomHub est inaccessible depuis un mois. Et la main tendue par DragonForce, dans un effort d’évolution de son modèle vers une sorte de rançongiciel en mode service (RaaS) en marque blanche, semble avoir fait long feu, au moins pour le moment.

Selon un affidé de RansomHub, l’infrastructure de l’enseigne est toutefois toujours active : il dit l’avoir encore récemment utilisé pour générer le rançongiciel utilisé contre l’une de ses victimes... attaquées à la toute fin du mois d’avril. Mais la confiance pourrait déjà avoir commencé à s’émousser.

Une revendication de cyberattaque contre le casino Jackpot Junction, publiée initialement sous la bannière de RansomHub et apparue mi-avril sur le site vitrine de LockBit 3.0. Ce casino a été attaqué fin mars. Un autre acteur malveillant remarquable, passé de LockBit à RansomHub au printemps 2024, semble désormais officier avec l’enseigne Lynx. Des mouvements qui ne manquent pas d’une certaine ironie.

Car RansomHub est une enseigne apparue en février 2024, avec un niveau initial d’activité (remontant au mois précédent) plutôt modeste. Mais c’était sans compter avec l’exit-scam d’Alphv et l’opération judiciaire internationale Cronos contre LockBit.

À la suite de ces deux incidents, RansomHub a réussi à attirer d’anciens affidés d’Alphv et LockBit 3.0. Cette migration s’est traduite concrètement dans l’activité observable des enseignes : celle de LockBit 3.0 a considérablement reculé après le mois de mai. Tandis que celle de RansomHub décollait rapidement.

Group-IB estime vraisemblable que d’autres acteurs associés à RansomHub aient récemment décidé de passer chez Qilin. Cette enseigne s’est effectivement renforcée en début d’année, mais son activité observable progresse moins vite que celle d’Akira.

L’analyste Arda Büyükkaya, d’EclecticIQ, avance quant à lui la piste d’un possible sabotage, de l’intérieur, par un important affidé de RansomHub. Sur LinkedIn, il fait ainsi état d’une conversation entre l’administrateur de la franchise et une victime, dans laquelle le premier indique à la seconde que l’espace de négociation lui ayant été assigné a été « effacé et ne peut pas être restauré ». Cette conversation est survenue le 28 mars.

Group-IB vient en outre de publier des captures d’écran de l’interface Web d’administration mise à disposition de ses affidés par les opérateurs de RansomHub, de quoi potentiellement accélérer sa chute par crainte de compromission.

Article initialement publié le 2 mai 2025, mis à jour le 5 mai 2025.