Actualites

World Leaks décide que chiffrer, pour extorquer, ce n’est finalement pas si mal

L’enseigne cybercriminelle World Leaks s’est construite sur une idée des opérateurs d’Hunters International : extorquer sans ransomware, c’est rendre l’attaque invisible et augmenter les chances de se faire payer. Mais ça ne semble pas si bien fonctionner.

Valéry Rieß-Marchive
par
Publié le: 24 mars 2026

La tension est permanente entre la nécessité pour les groupes criminels de minimiser leur visibilité et la tendance à utiliser des tactiques destructrices.

Cette contradiction est particulièrement marquée chez World Leaks, enseigne issue de la restructuration du groupe d’acteurs malveillants Hunters International mi 2025. Bien que la nouvelle entité ait théoriquement abandonné le chiffrement en 2025 pour adopter un modèle de vol exclusif, Darktrace a documenté une campagne hybride : contrairement à la doctrine affichée, cette attaque a impliqué l’exfiltration massive de données et le chiffrement destructeur des systèmes, entraînant une perte d’accès critique.

Les analystes de Darktrace soulignent la complexité de cette divergence : « les activités d’Extorsion-as-a-Service (EaaS) fonctionnent comme une méthode formalisée pour les acteurs de la menace cybernétique d’offrir des services d’extorsion à d’autres contre des frais ou un partage des profits, représentant une évolution des opérations d’extorsion par rapport au modèle de ransomware à double extorsion ». Cette flexibilité imprévisible illustre la capacité du groupe à basculer d’une logique de discrétion pure à une volonté d’infliger une disruption opérationnelle totale selon les circonstances.

Extorsion sans bruit, attaque sans pitié : l’ambivalence tactique de World Leaks

L’évolution du groupe illustre le passage d’un modèle de Ransomware-as-a-Service (RaaS) à celui d’Extorsion-as-a-Service (EaaS), une transition stratégique visant à réduire la complexité opérationnelle et à maximiser le profit. Ce changement répond à une réalité économique : les opérateurs ont explicitement admis une baisse des paiements de rançon en 2024, expliquant que la stratégie de « double extorsion » était devenue trop visible et contre-productive, justifiant ainsi le virage vers le simple vol de données pour inciter au paiement. Car pour les opérateurs de World Leaks, une idée est centrale : plus une victime aura de chances de cacher avec succès qu’elle a été attaquée, plus elle sera tentée de payer.

La stratégie de discrétion s’exprime par l’élimination volontaire des signatures d’intrusion traditionnelles. Le groupe a officiellement abandonné la publication de notes de rançon sur les postes infectés et le renommage des fichiers, une approche destinée à éviter que le personnel non spécialisé ne découvre l’incident immédiatement. 

Tactiques de contournement et persistance

Lors de l’incident documenté par Darktrace, l’assaillant a commencé par exploiter une vulnérabilité sur une appliance FortiGate. C’était en octobre 2025, pour établir l’accès initial. Dès novembre, l’exfiltration des données a été dirigée vers les services de stockage cloud MEGA et Backblaze.

La communication de commande et de contrôle (C2) a été routée via Cloudflare Tunnel, afin de cacher le trafic malveillant dans des flux de données approuvés. Les assaillants ont profité de la configuration rate-limited de Cloudflare pour échapper aux contrôles de sécurité traditionnels. Les analystes expliquent : « cette activité de tunnelling a continué jusqu’en janvier 2026, moment où le chiffrement s’est produit… L’utilisation de l’infrastructure de Cloudflare pour créer ces tunnels limités en débit rend de telles activités malveillantes plus difficiles à détecter pour les défenseurs et les mesures de sécurité traditionnelles ».

Pour approfondir sur Menaces, Ransomwares, DDoS