Guides Essentiels

Ransomware : mieux comprendre la menace

Introduction

Les cyberattaques avec ransomware sont de plus en plus incontournables dans les médias, en France et au-delà. Cette médiatisation accrue est notamment le fait de la multiplication d’attaques aux effets souvent bien visibles : la paralysie du système d’information des victimes ne s’avère que rarement facile à cacher.

Dès lors, il est difficile de dissimuler la matérialité d’un grave incident de cybersécurité. Cela vaut encore plus pour certains secteurs d’activité, comme la santé, les transports et la logistique, voire les collectivités territoriales et l’enseignement.

Pour autant, la menace apparaît encore largement incomprise, notamment dans ses liens avec une autre : celle des cleptogiciels (ou infostealers). Qui plus est, les idées reçues erronées ne manquent pas sur les cyberattaques.

Comprendre les méthodes des cybercriminels est toutefois essentiel pour mieux se protéger, se préparer, et savoir comment réagir en cas d’attaque, afin d’aider les forces de l’ordre à enquêter et perturber l’activité des malfaiteurs.

Dessin de François Cointe illustrant une posture de cybersécurité trop faible.Dessin de François Cointe ©LeMagIT

Un petit tour en coulisses s’impose donc, pour voir comment les attaques sont préparées – parfois longtemps à l’avance, et pas toujours sans faire d’erreurs –, mais également comment les cybercriminels essaient de blanchir les cryptoactifs extorqués à leurs victimes. De quoi découvrir comment leurs échecs en la matière font les succès des enquêteurs de la Police nationale et de la Gendarmerie.

Tous les groupes impliqués dans des attaques avec ransomware ne se ressemblent pas. Certains sont plus discrets que d’autres, plus structurés ou au contraire plus ouverts et divers dans leur niveau de sophistication et d’ingéniosité.

Les plus réputés ne sont d’ailleurs pas nécessairement les plus actifs : plusieurs rançongiciels peu médiatisés et peu connus du grand public font de très nombreuses victimes, dans le monde entier.

Télécharger gratuitement ce dossier au format PDF

Dossier mis à jour le 4 juin 2025.

1Décryptage-

Mieux comprendre la menace

Actualités

Ransomware : un écosystème toujours fortement fragmenté

Coveware constate que l’écosystème du rançongiciel est actuellement fortement marqué par un nombre important d’indépendants, de nouvelles marques aux motivations parfois floues, et quelques historiques du domaine. Lire la suite

Opinions

Ransomware : des franchises comme autant d’écrans de fumée

Les dernières révélations sur LockBit 3.0 soulignent la manière dont les ex-Conti se sont disséminés, faisant tomber les lignes historiques entre enseignes de ransomware, les reléguant au rôle d’écrans de fumée. Lire la suite

Conseils IT

Ransomware : 13 idées reçues contredites par la réalité des cyberattaques

Certaines idées reçues ont la vie dure, en matière de cyberattaques avec ransomware. La plupart de ces mythes, ou légendes urbaines ont un point commun : elles peuvent conduire à développer un faux sentiment de sécurité. D’où l’importance de rétablir la réalité de la menace. Lire la suite

Conseils IT

Ransomware : les mensonges des cybercriminels

Fournir un outil de déchiffrement, des conseils de sécurité, effacer les données volées… ce sont les trois principales promesses des cybercriminels en cas d’attaque avec rançongiciel. Mais les tiennent-ils ? Lire la suite

Opinions

Ransomware : pourquoi compter les revendications des cybercriminels ne suffit pas

Comptabiliser les revendications des cybercriminels pour en tirer des conclusions paresseuses sur l’intensité de leur activité, c’est leur servir la soupe (ainsi qu’aux adeptes du marketing) de la peur. Lire la suite

Actualités

Ransomware : ceux qui font le plus parler d’eux ne sont (toujours) pas les plus répandus

Cl0p, LockBit, Alphv, Play ou encore Medusa comptent parmi les franchises de rançongiciel les plus connues du moment. Une notoriété qui fait oublier d’autres ransomwares très répandus, à commencer par Dharma, Stop/Djvu et les variants de Phobos. Lire la suite

Conseils IT

Ransomware : pourquoi le retrait de revendication ne signifie pas le paiement de rançon

Lorsqu’une revendication disparaît du site vitrine d’une franchise de rançongiciel, il est tentant de suspecter qu’un paiement est survenu. Mais c’est négliger l’intérêt des cybercriminels à donner cette impression. Lire la suite

2Mode opératoire-

Dans les pas des cybercriminels

Conseils IT

Ransomware : pourquoi les attaquants se trompent parfois sur leur cible

Les cybercriminels s’appuient sur les services en ligne de ZoomInfo et de Dun & Bradstreet pour qualifier leurs potentielles victimes en devenir. Des services susceptibles d’induire en erreur les attaquants. Lire la suite

Conseils IT

Cyberattaque : comment déterminer quelles données ont été volées ?

Rares sont les entreprises victimes de cyberattaque capables de communiquer rapidement sur la quantité et la nature des données qui leur ont été volées. Parce que c’est rarement facile à établir. Lire la suite

Actualités

Ransomware : quand les attaquants s’attachent à négocier à huis clos

Historiquement, les victimes de cyberattaque avec ransomware semblaient les plus attachées à la discrétion des échanges avec leurs bourreaux. Des franchises telles que BianLian, Royal et Money Message semblent désormais s’en soucier également. Lire la suite

Actualités

Ransomware : les amours toujours contrariées des cybertruands avec le Bitcoin

Cette cryptomonnaie reste très prisée pour le paiement des rançons. Mais au-delà, certains ont déjà opéré un virage vers le Monero, dont le suivi des flux financiers s’avère moins aisé. Lire la suite

Conseils IT

Cyberattaque : pourquoi la transparence est essentielle avec les forces de l’ordre

En cas de cyberattaque, avec ransomware – ou plus généralement toute forme d’extorsion – porter plainte et être totalement transparent avec la gendarmerie ou la police nationale est essentiel pour lutter contre la cyberdélinquance. Lire la suite

Actualités

Ransomware : de REvil à Black Basta, que sait-on de Tramp ?

Ce membre clé du gang de rançongiciels Black Basta est recherché par la justice américaine. Il a échappé de peu à l’extradition vers les États-Unis fin juin 2024. Avec l’aide de contacts très haut placés à Moscou, selon lui. Lire la suite

Actualités

Black Basta : le début de la fin du gang semble remonter à l’été 2024

L’analyse des échanges internes à ce gang de ransomwares fait ressortir ses habitudes de congés. Avec une anomalie remarquable : après ceux de juillet 2024, plusieurs affidés ne sont pas revenus dans les rangs. Lire la suite

3Victimologie-

Quelques secteurs à la loupe

Actualités

Aviation civile : une cyberattaque affecte l’aéroport international de Kuala Lumpur

Les activités de l’aéroport ont été sensiblement ralenties. Une rançon de 10 millions de dollars a été demandée, mais l’hypothèse d’un paiement a été rejetée. Cette situation rare n’est toutefois pas une première. Lire la suite

Actualités

Cybersécurité : comment va la santé en France ?

La récente cyberattaque contre le groupe Hospi Grand Ouest ravive la question de la cybersécurité dans le secteur de la santé, en France. Les données disponibles font ressortir de réels progrès au fil des ans. Lire la suite

Actualités

Cyberattaques : la transparence des collectivités territoriales progresse

L’an dernier, l’Agence nationale de sécurité des systèmes d’information (Anssi) a eu connaissance de 25 cyberattaques avec rançongiciel contre des collectivités territoriales. Au moins 20 sont connues publiquement. Lire la suite

Actualités

Le domaine maritime : zone de risques cyber

Depuis l’Antiquité, les océans sont un espace de liberté, de transport des hommes et des marchandises. Leur numérisation les rend vulnérables aux cyberattaques, même si la culture de gestion du risque y est fortement ancrée. Lire la suite

Actualités

La logistique, un secteur de choix pour les cyberattaques ?

Les sociétés de transport du groupe Guyamier viennent d’être victimes d’une cyberattaque. Une situation dont au moins quatre autres spécialistes de la logistique, en France, ont déjà souffert en 2023. Lire la suite

4Écosystème-

Gros plan sur quelques groupes

Conseils IT

Ransomware : que sait-on de SafePay ?

Son site vitrine a été découvert mi-novembre 2024, mais ses activités remontent au moins au mois d’août. Son niveau d’activité observable connaît une forte intensification depuis le mois de mars. L’enseigne apparaît utiliser son propre rançongiciel. Lire la suite

Actualités

Qilin : la franchise qui monte, déjà dans la tourmente ?

L’enseigne de rançongiciel Qilin connaît une progression fulgurante de son niveau d’activité observable depuis le début de l’année. Mais des signes d’instabilité ont récemment fait leur apparition. Lire la suite

Actualités

Ransomware : ce que révèle la fuite de données de LockBit 3.0

Une instance d’interface d’administration pour les affidés de la franchise mafieuse a été attaquée le 29 avril. Les données de sa base SQL en ont été extraites et divulguées. Nos premières analyses. Lire la suite

Actualités

Ransomware : Akira continue sur sa lancée

L’enseigne, soupçonnée d’avoir recruté des anciens de Black Basta, continue d’afficher un niveau d’activité particulièrement élevé, que ses nombreuses revendications, seules, ne reflètent pas pleinement. Lire la suite

Actualités

Ransomware : sur la trace de LukaLocker, Nitrogen, et… Cactus

Les similarités entre les rançongiciels LukaLocker et Nitrogen ont déjà pu être établies. Les experts de Glimps viennent de les rapprocher tous deux d’un troisième : Cactus. Dont ils semblent descendre en droite ligne. Lire la suite

Actualités

Cyber-extorsion : Silent essaie de rançonner sans chiffrer

Connue publiquement depuis ce 23 avril 2025, cette nouvelle enseigne n’a, pour l’heure, revendiqué qu’une seule victime. Sa spécificité : elle ne chiffre pas les données de ses victimes, quitte à ce que certaines peinent à croire à la réalité de l’attaque. Lire la suite

Actualités

Ransomware : Frag s’attaque aussi bien à Windows qu’à Linux et ESXi

Active depuis au moins octobre 2024, cette enseigne dont la vitrine a été découverte fin mars, dispose d’un rançongiciel pour Windows et de variants pour Linux et ESXi. Tous trois supportent, de manière optionnelle, le chiffrement partiel des données. Lire la suite

Actualités

Ransomware : VanHelsing, un nouveau venu aux grandes ambitions

Cette enseigne de rançongiciel en mode service a pour l’instant revendiqué quatre victimes seulement, dont une en France. Elle revendique de quoi chiffrer les systèmes Windows, Linux/ESXi, BSD, et même ARM. Lire la suite