Ransomware : mieux comprendre la menace
Introduction
Les cyberattaques avec ransomware sont de plus en plus incontournables dans les médias, en France et au-delà. Cette médiatisation accrue est notamment le fait de la multiplication d’attaques aux effets souvent bien visibles : la paralysie du système d’information des victimes ne s’avère que rarement facile à cacher.
Dès lors, il est difficile de dissimuler la matérialité d’un grave incident de cybersécurité. Cela vaut encore plus pour certains secteurs d’activité, comme la santé, les transports et la logistique, voire les collectivités territoriales et l’enseignement.
Pour autant, la menace apparaît encore largement incomprise, notamment dans ses liens avec une autre : celle des cleptogiciels (ou infostealers). Qui plus est, les idées reçues erronées ne manquent pas sur les cyberattaques.
Comprendre les méthodes des cybercriminels est toutefois essentiel pour mieux se protéger, se préparer, et savoir comment réagir en cas d’attaque, afin d’aider les forces de l’ordre à enquêter et perturber l’activité des malfaiteurs.
Dessin de François Cointe ©LeMagITUn petit tour en coulisses s’impose donc, pour voir comment les attaques sont préparées – parfois longtemps à l’avance, et pas toujours sans faire d’erreurs –, mais également comment les cybercriminels essaient de blanchir les cryptoactifs extorqués à leurs victimes. De quoi découvrir comment leurs échecs en la matière font les succès des enquêteurs de la Police nationale et de la Gendarmerie.
Tous les groupes impliqués dans des attaques avec ransomware ne se ressemblent pas. Certains sont plus discrets que d’autres, plus structurés ou au contraire plus ouverts et divers dans leur niveau de sophistication et d’ingéniosité.
Les plus réputés ne sont d’ailleurs pas nécessairement les plus actifs : plusieurs rançongiciels peu médiatisés et peu connus du grand public font de très nombreuses victimes, dans le monde entier.
Dossier mis à jour le 4 juin 2025.
1Décryptage-
Mieux comprendre la menace
Ransomware : un écosystème toujours fortement fragmenté
Coveware constate que l’écosystème du rançongiciel est actuellement fortement marqué par un nombre important d’indépendants, de nouvelles marques aux motivations parfois floues, et quelques historiques du domaine. Lire la suite
Ransomware : des franchises comme autant d’écrans de fumée
Les dernières révélations sur LockBit 3.0 soulignent la manière dont les ex-Conti se sont disséminés, faisant tomber les lignes historiques entre enseignes de ransomware, les reléguant au rôle d’écrans de fumée. Lire la suite
Ransomware : 13 idées reçues contredites par la réalité des cyberattaques
Certaines idées reçues ont la vie dure, en matière de cyberattaques avec ransomware. La plupart de ces mythes, ou légendes urbaines ont un point commun : elles peuvent conduire à développer un faux sentiment de sécurité. D’où l’importance de rétablir la réalité de la menace. Lire la suite
Ransomware : les mensonges des cybercriminels
Fournir un outil de déchiffrement, des conseils de sécurité, effacer les données volées… ce sont les trois principales promesses des cybercriminels en cas d’attaque avec rançongiciel. Mais les tiennent-ils ? Lire la suite
Ransomware : pourquoi compter les revendications des cybercriminels ne suffit pas
Comptabiliser les revendications des cybercriminels pour en tirer des conclusions paresseuses sur l’intensité de leur activité, c’est leur servir la soupe (ainsi qu’aux adeptes du marketing) de la peur. Lire la suite
Ransomware : ceux qui font le plus parler d’eux ne sont (toujours) pas les plus répandus
Cl0p, LockBit, Alphv, Play ou encore Medusa comptent parmi les franchises de rançongiciel les plus connues du moment. Une notoriété qui fait oublier d’autres ransomwares très répandus, à commencer par Dharma, Stop/Djvu et les variants de Phobos. Lire la suite
Ransomware : pourquoi le retrait de revendication ne signifie pas le paiement de rançon
Lorsqu’une revendication disparaît du site vitrine d’une franchise de rançongiciel, il est tentant de suspecter qu’un paiement est survenu. Mais c’est négliger l’intérêt des cybercriminels à donner cette impression. Lire la suite
2Mode opératoire-
Dans les pas des cybercriminels
Ransomware : pourquoi les attaquants se trompent parfois sur leur cible
Les cybercriminels s’appuient sur les services en ligne de ZoomInfo et de Dun & Bradstreet pour qualifier leurs potentielles victimes en devenir. Des services susceptibles d’induire en erreur les attaquants. Lire la suite
Cyberattaque : comment déterminer quelles données ont été volées ?
Rares sont les entreprises victimes de cyberattaque capables de communiquer rapidement sur la quantité et la nature des données qui leur ont été volées. Parce que c’est rarement facile à établir. Lire la suite
Ransomware : quand les attaquants s’attachent à négocier à huis clos
Historiquement, les victimes de cyberattaque avec ransomware semblaient les plus attachées à la discrétion des échanges avec leurs bourreaux. Des franchises telles que BianLian, Royal et Money Message semblent désormais s’en soucier également. Lire la suite
Ransomware : les amours toujours contrariées des cybertruands avec le Bitcoin
Cette cryptomonnaie reste très prisée pour le paiement des rançons. Mais au-delà, certains ont déjà opéré un virage vers le Monero, dont le suivi des flux financiers s’avère moins aisé. Lire la suite
Cyberattaque : pourquoi la transparence est essentielle avec les forces de l’ordre
En cas de cyberattaque, avec ransomware – ou plus généralement toute forme d’extorsion – porter plainte et être totalement transparent avec la gendarmerie ou la police nationale est essentiel pour lutter contre la cyberdélinquance. Lire la suite
Ransomware : de REvil à Black Basta, que sait-on de Tramp ?
Ce membre clé du gang de rançongiciels Black Basta est recherché par la justice américaine. Il a échappé de peu à l’extradition vers les États-Unis fin juin 2024. Avec l’aide de contacts très haut placés à Moscou, selon lui. Lire la suite
Black Basta : le début de la fin du gang semble remonter à l’été 2024
L’analyse des échanges internes à ce gang de ransomwares fait ressortir ses habitudes de congés. Avec une anomalie remarquable : après ceux de juillet 2024, plusieurs affidés ne sont pas revenus dans les rangs. Lire la suite
3Victimologie-
Quelques secteurs à la loupe
Aviation civile : une cyberattaque affecte l’aéroport international de Kuala Lumpur
Les activités de l’aéroport ont été sensiblement ralenties. Une rançon de 10 millions de dollars a été demandée, mais l’hypothèse d’un paiement a été rejetée. Cette situation rare n’est toutefois pas une première. Lire la suite
Cybersécurité : comment va la santé en France ?
La récente cyberattaque contre le groupe Hospi Grand Ouest ravive la question de la cybersécurité dans le secteur de la santé, en France. Les données disponibles font ressortir de réels progrès au fil des ans. Lire la suite
Cyberattaques : la transparence des collectivités territoriales progresse
L’an dernier, l’Agence nationale de sécurité des systèmes d’information (Anssi) a eu connaissance de 25 cyberattaques avec rançongiciel contre des collectivités territoriales. Au moins 20 sont connues publiquement. Lire la suite
Le domaine maritime : zone de risques cyber
Depuis l’Antiquité, les océans sont un espace de liberté, de transport des hommes et des marchandises. Leur numérisation les rend vulnérables aux cyberattaques, même si la culture de gestion du risque y est fortement ancrée. Lire la suite
La logistique, un secteur de choix pour les cyberattaques ?
Les sociétés de transport du groupe Guyamier viennent d’être victimes d’une cyberattaque. Une situation dont au moins quatre autres spécialistes de la logistique, en France, ont déjà souffert en 2023. Lire la suite
4Écosystème-
Gros plan sur quelques groupes
Ransomware : que sait-on de SafePay ?
Son site vitrine a été découvert mi-novembre 2024, mais ses activités remontent au moins au mois d’août. Son niveau d’activité observable connaît une forte intensification depuis le mois de mars. L’enseigne apparaît utiliser son propre rançongiciel. Lire la suite
Qilin : la franchise qui monte, déjà dans la tourmente ?
L’enseigne de rançongiciel Qilin connaît une progression fulgurante de son niveau d’activité observable depuis le début de l’année. Mais des signes d’instabilité ont récemment fait leur apparition. Lire la suite
Ransomware : ce que révèle la fuite de données de LockBit 3.0
Une instance d’interface d’administration pour les affidés de la franchise mafieuse a été attaquée le 29 avril. Les données de sa base SQL en ont été extraites et divulguées. Nos premières analyses. Lire la suite
Ransomware : Akira continue sur sa lancée
L’enseigne, soupçonnée d’avoir recruté des anciens de Black Basta, continue d’afficher un niveau d’activité particulièrement élevé, que ses nombreuses revendications, seules, ne reflètent pas pleinement. Lire la suite
Ransomware : sur la trace de LukaLocker, Nitrogen, et… Cactus
Les similarités entre les rançongiciels LukaLocker et Nitrogen ont déjà pu être établies. Les experts de Glimps viennent de les rapprocher tous deux d’un troisième : Cactus. Dont ils semblent descendre en droite ligne. Lire la suite
Cyber-extorsion : Silent essaie de rançonner sans chiffrer
Connue publiquement depuis ce 23 avril 2025, cette nouvelle enseigne n’a, pour l’heure, revendiqué qu’une seule victime. Sa spécificité : elle ne chiffre pas les données de ses victimes, quitte à ce que certaines peinent à croire à la réalité de l’attaque. Lire la suite
Ransomware : Frag s’attaque aussi bien à Windows qu’à Linux et ESXi
Active depuis au moins octobre 2024, cette enseigne dont la vitrine a été découverte fin mars, dispose d’un rançongiciel pour Windows et de variants pour Linux et ESXi. Tous trois supportent, de manière optionnelle, le chiffrement partiel des données. Lire la suite
Ransomware : VanHelsing, un nouveau venu aux grandes ambitions
Cette enseigne de rançongiciel en mode service a pour l’instant revendiqué quatre victimes seulement, dont une en France. Elle revendique de quoi chiffrer les systèmes Windows, Linux/ESXi, BSD, et même ARM. Lire la suite