Afiq Sam - stock.adobe.com

Actualites

Rançongiciels : une rentabilité en baisse, une menace en mutation

Les constatations des équipements de renseignement sur les menaces de Mandiant (Google) s'inscrivent dans la continuité des autres déjà publiées : l'année 2025 aura marqué un tournant pour le ransomware. Bruyant, mais pas forcément plus intense.

Valéry Rieß-Marchive
par
Publié le: 18 mars 2026

L'année 2025 marque un tournant pour l'écosystème de la rançongiciel, caractérisé par un paradoxe apparent entre la baisse de rentabilité des opérations et la massification des incidents rapportés.

Selon le Google Threat Intelligence Group (GTIG), le nombre de publications sur les sites de revendication a atteint un niveau record, en hausse d'environ 50 % par rapport à 2024. Toutefois, cette croissance ne reflète pas nécessairement une augmentation proportionnelle du nombre des attaques, mais révèle une mutation profonde du modèle économique des cybercriminels.

Face à la baisse généralisée des taux de paiement, signalée par des rapports comme ceux de Coveware et de Chainalysis, et à l'amélioration des capacités de récupération des victimes, les acteurs malveillants sont contraints de réinventer leurs tactiques. La phase de chiffrement, initialement le principal levier de négociation, perd de son efficacité, forçant les groupes à prioriser le vol de données exclusif et à adopter une stratégie de volume accru. 

Redéfinition de la cible et évolution du modèle économique

La dynamique du domaine en 2025 est marquée par une pression économique qui redessine le profil des victimes. Bien que les grandes entreprises aient historiquement été des cibles privilégiées, la complexité de leurs défenses et leurs capacités de reprise ont réduit leur attractivité.

Les données du GTIG indiquent un déplacement des efforts vers les petites et moyennes entreprises (PME), définies ici comme des organisations comptant moins de 200 employés. Ces entités offrent un rapport coût-efficacité supérieur pour les attaquants cherchant à maximiser le nombre d'incidents avec des ressources d'intrusion similaires.

Cette mutation s'accompagne d'une résilience du modèle Ransomware-as-a-Service (RaaS). Malgré les actions en justice contre LockBit et la disparition de RansomHub, Alphv ou encore Black Basta, l'écosystème persiste. Les marques consolidées telles que Qilin et Akira ont maintenu et renforcé leur domination. En 2025, la famille de ransomware Redbike (Akira) a été la plus fréquemment déployée, représentant environ 30 % des incidents analysés par le GTIG.

L'augmentation des revendications ne doit pas être interprétée comme une preuve d'une explosion des attaques avec rançongiciel. Une analyse fine révèle que cette tendance est en partie alimentée par des opérations de vol de données exclusif, où les données sont exfiltrées sans nécessairement être chiffrées.

Le groupe associé au DLS CL0P a principalement opéré des stratégies de vol de données, contribuant significativement aux statistiques sans impliquer de déploiement massif de ransomware. De plus, certains acteurs exagèrent ou falsifient des allégations pour gonfler artificiellement leurs comptes de victimes, rendant la métrique des revendications ambiguë en l'absence de validation croisée.

Les vecteurs d'intrusion : l'exploitation de périmètre et l'usage des zero-days

L'accès initial demeure le point de défaillance critique. En 2025, l'exploitation de vulnérabilités a constitué le vecteur d'intrusion le plus fréquemment identifié, représentant un tiers des incidents analysés. Les acteurs ne se limitent plus à la force brute ou aux identifiants volés, mais exploitent activement des failles critiques, y compris des vulnérabilités de type zero-day dans des équipements de bordure.

Les solutions de VPN et de pare-feux constituent des cibles privilégiées. Des exploits ont été observés contre des produits tels que Fortinet (CVE-2024-55591, CVE-2024-21762), SonicWall (CVE-2024-40766) et Palo Alto (CVE-2024-3400). Par ailleurs, les services d'infrastructure critique comme Citrix (CVE-2023-4966) et les services web tels que Microsoft SharePoint ont fait l'objet de tentatives d'exploitation massives. Des cas spécifiques, tels que les tentatives de l'acteur UNC6357 contre des vulnérabilités SharePoint (CVE-2025-53770) en juillet 2025, suggèrent une exploitation avant la publication officielle des correctifs, confirmant l'utilisation de zero-days.

Au-delà de l'exploitation technique directe, la chaîne logistique et les relations de confiance sont devenues des vecteurs d'intrusion importants. Des attaquants utilisent l'accès à des réseaux de filiales ou des partenaires tiers pour pénétrer le réseau principal. Cette tactique permet de contourner des défenses périmétriques robustes en profitant de connexions de confiance.

Enfin, la tactique du "malvertising" et des techniques de référencement malveillant (SEO) a persisté. Des groupes comme UNC6016 ont utilisé des publicités malveillantes pour distribuer des charges utiles d'intrusion masquées en logiciels légitimes, tels que PuTTY, facilitant l'installation initiale.

Consolidation et mouvement latéral : l'ère de la virtualisation ciblée

Une fois l'accès établi, la consolidation de la présence et le déplacement latéral sont essentiels. En 2025, une évolution marquante a été observée : près de 43 % des intrusions ont ciblé spécifiquement les environnements de virtualisation, une hausse significative par rapport aux 29 % enregistrés en 2024. Les hyperviseurs ESXi et les serveurs de gestion vCenter sont devenus des objectifs de choix, car leur compromission offre un contrôle total sur l'ensemble des machines virtuelles, les sauvegardes et l'infrastructure sous-jacente.

Les techniques utilisées pour atteindre ces cibles se sont sophistiquées, passant d'interventions purement manuelles à des processus de déploiement automatisés. Des scripts, souvent exécutés via PowerShell, ont été utilisés pour authentifier les hôtes ESXi, modifier les paramètres de sécurité critiques tels que ExecInstalledOnly pour permettre l'exécution de binaires personnalisés, et déployer le rançongiciel sur l'ensemble des hôtes. Par ailleurs, les attaquants ont systématiquement procédé à la désactivation des snapshots et à la suppression des sauvegardes locales avant de chiffrer les données, rendant la récupération extrêmement difficile.

Pour se déplacer latéralement au sein de l'environnement, les acteurs continuent d'exploiter les protocoles standardisés tels que RDP, SMB et SSH. L'utilisation d'outils comme AnyDesk, TeamViewer, et des utilitaires de tunneling comme CLOUDFLARED et LIONSHARE est devenue courante.

Ces outils, bien que légitimes, sont utilisés pour créer des tunnels de communication furtifs. La manipulation des règles de pare-feu et la création de comptes administrateurs sont des étapes systématiques pour faciliter cette progression. L'exploitation des interfaces de gestion, comme VMware vSphere ou Nutanix Prism, permet aux attaquants de basculer entre les hôtes et de prendre le contrôle de l'infrastructure virtualisée.

Exfiltration et extorsion multicouche : la prédominance du vol de données

L'année 2025 confirme le pivot stratégique majeur vers le vol de données, qui est devenu la composante centrale de 77 % des incidents analysés, contre 57 % en 2024. Cette évolution reflète une réponse directe aux défis de rentabilité du chiffrement. Les attaquants, constatant que les victimes refusent de payer, ont intensifié la pression exercée via la menace de diffusion publique de données sensibles.

Les techniques d'exfiltration se sont adaptées pour contourner les systèmes de sécurité traditionnels. Les outils légitimes et open-source sont devenus les vecteurs privilégiés pour le transfert de données. Rclone, utilisé dans environ 28 % des cas d'exfiltration, ainsi que WinSCP, FileZilla et les clients FTP, sont régulièrement observés pour archiver et transférer les données volées vers des services cloud publics (OneDrive, Azure, Google Drive, MEGA). Ces outils permettent de masquer le trafic de données à des fins d'exfiltration.

La sélection des données ciblant les données sensibles (RH, juridique, financier) et les informations personnelles est devenue systématique. Les attaquants utilisent des scripts PowerShell pour automatiser la recherche et l'archivage de ces données avant leur transfert. L'utilisation de services cloud personnels ou de stockage externe contrôlé par les attaquants est une tactique répandue, compliquant la traçabilité et la réaction.

Innovations techniques et résilience de l'écosystème criminel

L'écosystème des rançongiciels démontre une capacité remarquable d'adaptation face aux pressions légales et aux améliorations des défenses techniques. L'intégration de l'intelligence artificielle (IA) dans les opérations criminelles est une tendance émergente. Des groupes comme Global ont intégré des chatbots assistés par IA pour l'analyse des cibles et la négociation, permettant une évaluation plus rapide des points de pression.

Par ailleurs, l'utilisation de technologies Web3 et de protocoles blockchain a été observée pour renforcer la résilience des infrastructures de commande et de contrôle (C2). Des groupes comme Cry0 ont utilisé le protocole ICP pour héberger des sites de négociation via des contrats intelligents décentralisés. De même, Deadlock a exploité des contrats intelligents Polygon pour stocker et faire pivoter ses infrastructures C2.

Enfin, une évolution notable dans l'arsenal des attaquants est la réduction de l'usage d'outils de post-exploitation traditionnels comme les balises Cobalt Strike. Leur utilisation a chuté à environ 2 % des incidents en 2025, contre 11 % en 2024. Les acteurs privilégient désormais des outils plus discrets, des frameworks de pentesting open-source comme AdaptixC2 ou Mythic, et des utilitaires légitimes pour maintenir leur présence.

Pour approfondir sur Menaces, Ransomwares, DDoS