Ransomware : un mois d’avril qui n’a probablement pas tout dit

En mars 2025, ransomware.live a compté plus de 480 revendications sur des sites vitrine d’enseignes de ransomware. Au total, après l’intégration des cas constatés dans la presse internationale et les corrections des dates de survenue d’attaque, nous comptons 438 cyberattaques et revendications à travers le monde. 

Ce décalage s’explique notamment par le délai de revendication observé chez plusieurs enseignes – de quelques semaines à plusieurs mois. Cela vaut particulièrement pour celles découvertes le plus récemment, à l’instar de « J » et Gunra, notamment.

À cela s’est ajoutée l’apparition d’une nouvelle enseigne de recyclage de données volées parfois très antérieurement, Crypto24, ou encore de l’habillage de RALord en Nova.

Ainsi, à ce jour, nous avons pu estimer et/ou confirmer la date de survenue de plus de 28 % des attaques revendiquées en avril 2025, près de 29 % en mars, près de 37 % en février, et plus de 27 % en janvier. Les nouvelles estimations établies nous font relever le compte de cyberattaques et revendications à 630 pour mars, 596 pour février 2025, et 519 en janvier.

Pour le groupe Play, nous approchons désormais les 71 % de revendications survenues en 2025 pour lesquelles une estimation de date de survenue est disponible, ou encore 51 % pour Qilin et 56 % pour Safepay. Pour l’ensemble des cyberattaques revendiquées en 2025, nous approchons des 30 % de cas dont la date de survenue effective est confirmée ou estimée, contre un peu plus de 33 % pour 2024.

Si l’Amérique du Nord s’inscrit toujours en tête des régions touchées par la menace, son niveau observable a considérablement augmenté dans la région Allemagne-Autriche-Suisse (DACH), avec toujours un niveau record de cas. La région Asie-Pacifique (APAC) apparaît également de plus en plus significativement représentée.

En France, si la menace apparaît s’inscrire à un niveau inférieur à celui de janvier, il n’en reste pas moins élevé. En avril, Cybermalveillance.gouv.fr a ainsi reçu plus de 130 demandes d’assistance pour cyberattaque avec ransomware (hors particuliers).

Dans l’immédiat, il ne faut malheureusement pas compter sur le moindre signe d’accalmie durable. RansomHub semble avoir mis la clé sous la porte, mais ses affidés ne manqueront pas de trouver d’autres enseignes avec lesquelles officier. 

Outre DragonForce, il faudra peut-être compter avec Silent, qui mise sur l’extorsion simple, sans chiffrement de données, au moins dans un premier temps. Mais Akira continue d’afficher un niveau d’activité redoutablement élevé. On devrait à l’un de ses affidés la récente cyberattaque contre Hitachi Vantara.