Ransomware : un écosystème toujours fortement fragmenté

A l’issue du premier semestre 2024, à la suite de l’opération Cronos contre LockBit 3.0 et de la disparition d’Alphv/BlackCat, l’écosystème cybercriminel du rançongiciel apparaissait particulièrement fragmenté. Quelques mois plus tard, la situation n’a guère changé.

C’est en tout cas le premier constat que fait Coveware (récemment racheté par Veeam) à l’issue du premier trimestre 2025 : « bien que certains groupes persistent et que de nouveaux noms continuent d'apparaître dans la sphère des rançongiciels, l'époque où il y avait un ou deux “leaders” définitifs du marché des rançongiciels semble être une situation lointaine ».

Ainsi, pour ce spécialiste de la réponse à incident, « au premier trimestre 2025, le paysage est dominé par : des extorqueurs solitaires non affiliés, une série de nouvelles marques de ransomware qui brouillent les frontières entre la cybercriminalité traditionnelle à motivation financière, l'espionnage et l'hacktivisme, et quelques groupes de ransomware survivants d'une époque révolue qui suivent encore ce que nous considérons comme un cahier des charges traditionnel en matière de ransomware ».

Dans ce paysage trouble, il faut compter notamment avec des usurpateurs : « en février, une série d'entreprises a reçu par courrier des notes de rançon physiques censées provenir du célèbre groupe d'extorsion BianLian. Cette campagne a rapidement été identifiée comme une escroquerie fantôme qui n'était pas affiliée au véritable groupe d'extorsion BianLian, mais elle a marqué la première extorsion fantôme de ce type utilisant l’image d’un ransomware ».

Après la disparition de Black Basta, de RansomHub, et celle attendue de Hunters International, pour Coveware, « l'état de l'union pour les ransomwares en 2025 semble incertain. Bien que les attaques se poursuivent et que de nouveaux groupes continuent de se créer chaque mois, la machine à ransomware bien huilée que les premiers groupes RaaS ont construite est en proie à des complications qui ne semblent pas près de se résoudre ». 

Coveware souligne notamment la qualité des outils de déchiffrement, « plus mauvais qu'ils ne l'ont jamais été » – et c’est peu dire qu’ils n’ont jamais été bien brillants –, le risque de sanctions internationales susceptibles d’affecter durablement leurs capacités de monétisation, ou encore une sécurité opérationnelle des acteurs impliquées loin d’être infaillible, sans oublier les opérations affectant leurs infrastructures, de l’hébergement au blanchiment.

Au premier trimestre, Coveware a constaté que le montant moyen des rançons payée est resté stable par rapport au trimestre précédent, autour de 550 000 $. La médiane s’est établie à 200 000 $, en forte progression (80 %) par rapport au dernier trimestre de 2024. Un retour au niveau du troisième trimestre.

Selon Coveware, « les paiements les plus élevés sont dus à des règlements motivés par le déchiffrement afin de minimiser l'interruption des activités en l'absence de sauvegardes valables ». 

Surtout, « seul un tiers environ des paiements était motivé par la volonté d'empêcher la divulgation de données volées ». De quoi, peut-être, décourager ceux qui, comme la jeune enseigne Silent, entendent miser en priorité sur l’extorsion simple.