Ransomware : un répit déjà terminé ?

En septembre 2025, ransomware.live a compté plus de 490 revendications sur des sites vitrine d’enseignes de ransomware. Au total, après l’intégration des cas constatés dans la presse internationale et les corrections des dates de survenue d’attaque, nous comptons 512 cyberattaques et revendications à travers le monde, contre 510 en août, et 487 en juillet.

Ces écarts s’expliquent notamment par le délai de revendication observé chez plusieurs enseignes – de quelques semaines à plusieurs mois. Le phénomène est d’autant plus marqué avec les vitrines tout juste découvertes, susceptibles de lever le voile sur des victimes bien antérieures.

Cela vaut par exemple pour des enseignes telles Sinobi (découverte début juillet) et Pear (début août). Courant septembre, ce ne sont rien moins que 7 franchises de rançongiciel qui ont fait leur apparition.

Ainsi, à ce jour, nous avons pu estimer et/ou confirmer la date de survenue de plus de 24 % des attaques revendiquées en septembre 2025, près de 26,6 % en août, près de 33 % en juillet, plus de 30 % en juin, et près de 39 % en mai. Les nouvelles estimations établies nous font ramener le compte de cyberattaques et revendications à 534 pour juin, 622 pour mai, 644 pour avril, 699 pour mars, 691 pour février 2025, et 606 en janvier.

Concernant le groupe Play, nous approchons désormais les 86 % de revendications survenues au cours des douze derniers mois pour lesquelles une estimation de date de survenue est disponible, ou encore 83 % pour Worldleaks, et 71 % pour Safepay.

Sur les douze derniers mois, nous dépassons les 34 % de cas dont la date de survenue effective est confirmée ou estimée, avec des écarts majoritairement limités à quelques jours entre date estimée et rapportée, lorsque les deux sont disponibles.

Depuis la disparition de RansomHub et de Black Basta, Akira et Qilin s’imposent comme les deux enseignes les plus actives du moment avec, pour la première, un pic à 70 victimes en février 2025, ou encore pas moins de 65 en janvier et avril 2025. Selon Arctic Wolf et Huntress, Akira a notamment fait de nombreuses victimes en exploitant une vulnérabilité remontant à 2024 et affectant les équipements SonicWall, la CVE-2024-40766.

Après un léger recul en juillet, avec tout de même 50 victimes estimées, Qilin pourrait bien avoir fait jusqu’à 80 victimes en août et plus de 70 en septembre. L’enseigne a en outre multiplié les revendications au mois d’octobre, avec une impressionnante série de victimes françaises. Derrière vient Play, régulier, avec de l’ordre d’une trentaine de victimes par mois cette année, mais une quarantaine en avril, mai et septembre.

La triade INC, Lynx et Safepay pourrait toutefois bien mériter sa place dans le trio de tête, avec potentiellement plus de 70 victimes au mois de septembre. Ce chiffre reste à confirmer et la rédaction travaille actuellement à renforcer sensiblement le nombre de leurs revendications pour lesquelles nous disposons d’une date de survenue estimée de la phase finale de la cyberattaque.

L’Amérique du Nord continue de tenir la première place du podium des régions affectées par la menace, suivie de l’Europe et de l’Asie-Pacifique. Sur le vieux continent, c’est toujours l’Allemagne qui concentre le plus grand nombre d’incidents répertoriés, suivie du Royaume-Uni, de l’Italie et de la France, sur 12 mois glissants.

Dans l’Hexagone, la menace a reculé après les pics de décembre 2024 et du premier trimestre, jusqu’au mois d’août. Mais elle est repartie à la hausse : en septembre, Cybermalveillance.gouv.fr a ainsi reçu 140 demandes d’assistance pour cyberattaque avec ransomware (hors particuliers), soit un niveau s’établissant entre ceux d’avril et février. Près de trois fois celui observé en septembre 2024.