Afiq Sam - stock.adobe.com

Actualites

Ransomware : ces revendications au destin hasardeux

Dans le monde du rançongiciel, qui dit double-extorsion, dit menace de divulgation de données lors de la cyberattaque, avec passage par la case revendication publique. Mais ce processus n'est pas totalement systématique.

Valéry Rieß-Marchive
par
Publié le: 26 mars 2026

Le processus de double-extorsion est désormais bien installé dans les pratiques des cybercriminels. Ils lancent une attaque, volent des données à leur victime, en chiffrent, déposent une mal-nommée note de rançon avec des instructions pour prendre langue avec eux.

Passé un délai plus ou moins court selon les cybercriminels et les enseignes de rançongiciel, les assaillants publient une revendication sur leur site vitrine. Menace de divulgation des données volées à l'appui.

Lorsqu'elle survient, la divulgation peut attendre entre quelques semaines et quelques mois, parfois sous l'effet des efforts fructueux d'un talentueux négociateur pour jouer la montre.

Mais toutes les revendications ne sont pas suivies d'une effective divulgation. Avec l'aide d'eCrime.ch, et ses données arrêtées au 20 mars, nous nous sommes penchés sur ce phénomène, en nous concentrant sur les enseignes aux revendications actuellement les plus nombreuses. Les résultats sont édifiants.

Quand les données volées ne sont pas divulguées

Ainsi, chez Akira, plus de 63 % des revendications n'ont pas été suivies d'une divulgation de données. Chez Qilin ? 41 %. Chez Cl0p ? 85 %. Le quatuor INC Ransom/Lynx/Sinobi/Safepay est plus rigoureux avec 89 % de revendications suivies de divulgation. Un chiffre qui monte à 94 % avec l'enseigne de ransomware DragonForce.

Plusieurs explications sont possibles, sans qu'elles soient mutuellement exclusives :

  • l'assaillant n'a pas volé de données, ou très peu, en a perdu le contrôle, ou bien les données n'ont qu'un intérêt, de son point de vue, très limité. Des attaques sans vol de données, ou un vol très limité (moins d'un 1 Go) ont été observés chez Akira, notamment.
  • l'assaillant est juste passé à la victime suivante, négligeant de divulguer les données volées.
  • l'infrastructure de divulgation de données des assaillants est défaillante. Cela a régulièrement été constaté avec Qilin entre 2024 et 2025, notamment.
  • l'assaillant divulgue des données de plusieurs victimes dans un seul lot, faussant les comptes. Ce phénomène est observé régulièrement avec Akira.
  • l'assaillant choisi de conserver les données de sa victime, misant sur une exploitation ultérieure de certaines d'entre elles. Cela peut lui permettre de menacer des partenaires techniques de sa victime, par exemple, tout en la maintenant dans le brouillard quant à ce qui a été effectivement volé.
  • la victime a versé une rançon couvrant seulement la non-divulgation des données. Akira a proposé ce genre d'arrangement à plusieurs reprises.
  • la victime a cédé tardivement au chantage en demandant que la revendication ne soit retirée, de crainte de dévoiler son choix.

Quand une revendication disparaît

Il arrive également que des revendications soient supprimées du site vitrine de l'enseigne de rançongiciel. C'est plus rare et survient avec une étonnante cohérence selon les enseignes.

Ce sont ainsi 7 % des revendications d'Akira qui ont été retirées, contre 6 % chez Cl0p et INC Ransom/Lynx/Sinobi/Safepay, ainsi que 3 % chez DragonForce. Là, Qilin fait figure d'exception avec 29 % de retraits.

Encore une fois, plusieurs explications non mutuellement exclusives peuvent être envisagées :

  • l'infrastructure technique de l'assaillant a été défaillante/modifiée dans le temps. Cela contribue vraisemblablement à expliquer, au moins en partie, l'anomalie Qilin.
  • l'assaillant s'est aperçu qu'il s'est trompé de victime dans sa revendication. Ça s'est déjà vu. Il supprime alors sa première revendication pour la remplacer par une nouvelle.
  • la victime a décidé d'engager une négociation puis de verser une rançon après la publication de la revendication. De tels cas ont été effectivement constatés. Des retraits de revendication temporaires l'ont également été, suggérant une négociation engagée, mais ne s'étant pas soldée par le paiement d'une rançon. À moins que la victime n'ait demandé que la revendication soit à nouveau publiée.

Le destin torturé de certaines revendications ne doit ainsi pas conduire à conclusion hâtives : les observations extérieures peuvent trouver diverses explications plausibles, toutes ayant déjà été constatées dans la pratique. Et pas seulement une fois.

Pour approfondir sur Menaces, Ransomwares, DDoS