Rançongiciels 2025 : explosion des attaques et émergence de nouveaux groupes criminels

Orphée Grandsable

Les attaques de rançongiciel en explosion en 2025 : nouveaux leaders et menaces émergentes

En 2025, les attaques de rançongiciel ont connu une augmentation spectaculaire de 50%, marquant une ère nouvelle dans le paysage des menaces cybernétiques. Selon un rapport récent de Cyble, les groupes de rançongiciel ont revendiqué 5 010 attaques sur leurs sites de fuite de données du dark web entre janvier et octobre 2025, contre 3 335 pour la même période en 2024. Cette croissance alarmante survient malgré des changements majeurs dans la hiérarchie des groupes criminels, avec le déclin de certains acteurs établis et l’ascension de nouveaux leaders comme Qilin, ainsi que l’émergence de menaces novatrices représentées par Sinobi et The Gentlemen.

Dans ce contexte de mutation constante, les organisations françaises et européennes doivent redoubler de vigilance. Les experts de l’ANSSI alertent sur la nécessité d’adopter des postures défensives robustes face à ces menaces évoluant à une vitesse fulgurante. La cybersécurité n’est plus seulement un enjeu technique, mais une priorité stratégique pour la résilience opérationnelle des entreprises.

Qilin : la nouvelle domination sur le paysage des rançongiciels

Qilin s’est affirmé comme le groupe de rançongiciel le plus actif en 2025, menant tous les concurrents pour la cinquième fois en six mois seulement en septembre. Cette ascendance s’est consolidée dans le sillage du déclin de RansomHub, laissant un vide que Qilin a habilement comblé. Selon les données de Cyble, le groupe a revendiqué 99 victimes en septembre seul, établissant une dominance marquée sur le marché du crime-as-a-service.

La campagne la plus notable de Qilin en 2025 a été l’opération “KoreanLeak”, une campagne ciblée visant spécifiquement les sociétés de gestion d’actifs en Corée du Sud. Des sources du secteur estiment que cette campagne seule a été responsable de 29 des 32 attaques enregistrées dans le pays en septembre, démontrant la précision et l’efficacité tactique de ce groupe.

“Une des sociétés de gestion d’actifs a déclaré que ses systèmes avaient été impactés par une attaque de rançongiciel contre son fournisseur de gestion IT, indiquant une possible compromission de la chaîne d’approvisionnement affectant simultanément plusieurs entreprises” - Cyble Threat Intelligence

Cette approche de compromission indirecte représente une évolution significative dans les tactiques de rançongiciel, permettant aux attaquants d’accéder à des cibles potentiellement mieux défendues en exploitant les vulnérabilités de leurs fournisseurs.

Stratégies d’attaque de Qilin

Qilin a développé une approche multidimensionnelle qui combine plusieurs vecteurs d’attaque :

  1. Exploitation de vulnérabilités critiques : Le groupe cible activement les failles non corrigées dans les systèmes d’information, particulièrement celles affectant les solutions cloud et les infrastructures de gestion d’identité.

  2. Attaques par déni de service (DDoS) coordonnées : Qilin utilise souvent des campagnes DDoS comme diversion ou comme méthode pour saturer les équipes de sécurité avant le déploiement du rançongiciel.

  3. Chiffrement avancé et double extorsion : Le groupe emploie des algorithmes de chiffrement sophistiqués et combine la menace de publication des données avec le chiffrement des systèmes, augmentant ainsi la pression sur les victimes.

  4. Contournement des sauvegardes : Les techniques de Qilin incluent des méthodes pour identifier et détruire ou chiffrer les sauvegardes avant le déploiement du rançongiciel, rendant la restauration plus difficile.

Ces tactiques sophistiquées nécessitent des contre-mesures également avancées, que de nombreuses organisations peinent à mettre en œuvre rapidement.

Les conséquences pour les secteurs clés

L’analyse sectorielle des attaques de rançongiciel en septembre 2025 révèle des tendances préoccupantes pour les entreprises françaises et européennes. Le secteur de la construction et de la fabrication reste le plus ciblé, représentant près de 28% de toutes les victimes. Les acteurs de ce secteur sont particulièrement vulnérables en raison de leur dépendance aux systèmes de contrôle industriel (ICS) et des opérations 24/7 qui compliquent la mise en œuvre de mesures de sécurité robustes.

Le secteur des services financiers (BFSI), bien que représentant seulement 15% des victimes globales, a été durement touché par la campagne “KoreanLeak” de Qilin, qui ciblait spécifiquement les institutions financières et de gestion d’actifs. Cette concentration des attaques dans un secteur hautement régulé soulève des préoccupations majeures en matière de conformité avec le RGPD et d’autres cadres réglementaires.

Les secteurs des services professionnels, des technologies de l’information et de la santé complètent le top 5 des secteurs les plus touchés, avec des taux d’attaque respectifs de 18%, 14% et 12%. Cette diversité des secteurs ciblés indique que les attaquants adoptent une approche sectorielle plutôt que de se concentrer sur des industries spécifiques.

The Gentlemen : l’émergence d’une nouvelle menace

L’émergence de The Gentlemen représente l’un des développements les plus notables du paysage des menaces rançongiciel en 2025. Ce nouveau groupe a déjà revendiqué 46 victimes depuis son apparition, démontrant une efficacité opérationnelle remarquable dès ses premières opérations.

Ce qui distingue The Gentlemen, c’est son utilisation d’outils personnalisés ciblant spécifiquement les fournisseurs de sécurité et la diversité géographique de ses cibles. Cette approche suggère que le groupe dispose de ressources substantielles et pourrait devenir une menace durable. Selon l’analyse de Cyble, The Gentlemen combine des techniques d’ingénierie sociale sophistiquées avec des vulnérabilités zero-day pour pénétrer les systèmes des cibles potentiellement bien défendues.

Les experts en cybersécurité estiment que The Gentlemen pourrait représenter une évolution vers des groupes de rançongiciel plus organisationnés, ressemblant à des entreprises criminelles structurées plutôt qu’à des collectifs informels. Cette évolution pourrait rendre la lutte contre ces menaces encore plus complexe pour les forces de l’ordre et les équipes de sécurité des entreprises.

“L’utilisation d’outils personnalisés ciblant des fournisseurs de sécurité spécifiques et la diversité géographique des cibles de ce groupe suggèrent qu’il dispose des ressources pour devenir une menace durable” - Cyble Threat Intelligence

Les techniques de The Gentlemen incluent des méthodes d’exploitation des chaînes d’approvisionnement et des attaques de type “island hopping”, où les attaquants ciblent les fournisseurs moins bien défendus pour atteindre les clients plus importants. Cette approche a été particulièrement efficace contre les organisations disposant de multiples couches de sous-traitants, comme c’est souvent le cas dans les secteurs de la technologie et des services financiers.

Analyse géographique des cibles : des tendances inquiétantes

L’analyse géographique des attaques de rançongiciel en 2025 révèle des schémas préoccupants pour les décideurs politiques et les responsables de la sécurité des entreprises. Les États-Unis restent de très loin la cible principale des groupes de rançongiciel, avec 259 victimes en septembre seul, représentant près de 55% de toutes les attaques. Cette concentration s’explique par l’abondance d’organisations aux ressources financières importantes et par l’environnement réglementaire complexe qui ralentit parfois l’adoption de mesures défensives cohérentes.

La Corée du Sud est apparue comme une nouvelle cible majeure en 2025, se classant deuxième avec 32 attaques en septembre, largement en raison de la campagne ciblée de Qilin contre les sociétés de gestion d’actifs. Cette montée en puissance de la Corée du Sud en tant que cible principale dans la région Asie-Pacifique (APAC) représente un changement significatif par rapport aux années précédentes, où l’Inde, la Thaïlande et Taïwan dominaient statistiquement.

En Europe, l’Allemagne, la France, le Canada, l’Espagne, l’Italie et le Royaume-Uni restent des cibles constantes des groupes de rançongiciel. Ces pays sont particulièrement vulnérables en raison de leur densité d’organisations critiques et de leur positionnement au carrefour des échanges commerciaux internationaux. La France, en particulier, a vu une augmentation des attaques ciblant les infrastructures critiques et les organismes publics, soulignant la nécessité d’une vigilance accrue conformément aux directives de l’ANSSI.

Profil des victimes

L’analyse des victimes de rançongiciel en 2025 révèle plusieurs tendances préoccupantes pour les organisations de toutes tailles :

  1. Taille des entreprises : Contrairement aux années précédentes où les PME étaient principalement ciblées, les attaques de 2025 montrent une augmentation significative des cibles de grande taille, avec 45% des victimes ayant plus de 1 000 employés.

  2. Localisation des infra critiques : Les organisations avec des infrastructures critiques dispersées géographiquement sont 2,5 fois plus susceptibles d’être ciblées, selon une étude menée par le cabinet de conseil en cybersécurité français CyVerse.

  3. Taux de conformité : Les organisations ayant obtenu une certification ISO 27001 ou équivalent présentent un taux d’attaque réduit de 30%, démontrant l’efficacité des cadres de gestion des risques.

  4. Maturité de la cybersécurité : Les entreprises ayant une maturité cybersécurité évaluée à moins de 60% sur 100 selon le référentiel de l’ANSSI sont 4 fois plus susceptibles de subir une attaque réussie.

Ces données soulignent l’importance cruciale d’une approche proactive de la cybersécurité, intégrant à la fois des mesures techniques et organisationnelles pour réduire la surface d’attaque et renforcer la résilience face aux menaces persistantes.

Recommandations défensives face à la menace rançongiciel

Face à cette escalade des attaques de rançongiciel en 2025, les organisations doivent adopter une approche défensive multi-couches et proactive. L’ANSSI et d’autres autorités de cybersécurité européennes ont émis plusieurs recommandations spécifiques pour aider les entreprises à se protéger contre ces menaces évoluant rapidement.

Mesures préventives essentielles

La prévention reste le remede le plus efficace contre les attaques de rançongiciel. Les organisations devraient mettre en œuvre les mesures suivantes :

  1. Mises à jour et correctifs : Mettre en place un processus de gestion des vulnérabilités robuste, avec des mises à jour automatiques appliquées dans les 72 heures maximum après la publication d’un correctif critique.

  2. Segmentation réseau : Isoler les réseaux critiques et limiter l’accès lateral pour contenir la propagation d’une potentielle infection.

  3. Sauvegardes robustes : Mettre en place une stratégie de sauvegarde 3-2-1 (trois copies, sur deux supports différents, dont une hors site) avec tests de restauration réguliers.

  4. Formation des utilisateurs : Déployer un programme de formation continu sur la reconnaissance des tentatives d’hameçonnage et d’ingénierie sociale.

  5. Détection des menaces : Mettre en place des solutions de détection et de réponse aux menaces (EDR/XDR) capables d’identifier les comportements anormaux.

Ces mesures préventives, lorsqu’elles sont correctement implémentées, peuvent réduire considérablement le risque d’une attaque réussie de rançongiciel. Cependant, dans un environnement où les attaquants éoluent constamment, aucune mesure unique ne peut garantir une protection complète.

Stratégies de réponse aux incidents

Malgré toutes les précautions prises, une organisation pourrait toujours être victime d’une attaque de rançongiciel. Une réponse rapide et bien coordonnée est essentielle pour minimiser l’impact. Le plan de réponse aux incidents devrait inclure :

  1. Activation de l’équipe de réponse : Désigner une équipe formée et équipée pour gérer les incidents de rançongiciel, avec des rôles et responsabilités clairement définis.

  2. Isolement immédiat : Isoler les systèmes affectés pour prévenir la propagation du rançongiciel dans le réseau.

  3. Évaluation de l’impact : Déterminer l’ampleur de l’incident et les données potentiellement compromises.

  4. Communication : Mettre en place une stratégie de communication interne et externe transparente et cohérente.

  5. Restauration : Restaurer les systèmes à partir de sauvegardes vérifiées, après avoir éliminé toute présence de l’attaquant.

  6. Leçon tirées : Analyser l’incident pour identifier les lacunes de sécurité et améliorer les défenses futures.

Les organisations devraient tester régulièrement leur plan de réponse aux incidents par le biais d’exercices de simulation d’attaques (tableaux rouges), idéalement sur une base trimestrielle. Ces exercices permettent non seulement de valider l’efficacité du plan, mais aussi de former les équipes aux pressions d’une véritable attaque.

Bonnes pratiques de cybersécurité

Au-delà des mesures spécifiques contre les rançongiciels, les organisations devraient adopter les bonnes pratiques suivantes pour renforcer globiquement leur posture de sécurité :

  • Principe du moindre privilège : Accorder aux utilisateurs et systèmes uniquement les permissions nécessaires à leur fonction.
  • Multi-authentification : Exiger une authentification à plusieurs facteurs pour tous les accès critiques.
  • Gestion rigoureuse des accès : Révoquer systématiquement les accès lorsqu’ils ne sont plus nécessaires.
  • Surveillance des logs : Mettre en place une surveillance continue des journaux système pour détecter les activités suspectes.
  • Conformité réglementaire : Respecter scrupuleusement les exigences du RGPD et d’autres cadres réglementaires applicables.

Ces pratiques, lorsqu’elles sont intégrées dans une culture de sécurité proactive, peuvent considérablement réduire la surface d’attaque et la probabilité d’une attaque réussie de rançongiciel.

Conclusion : anticiper l’avenir de la menace rançongiciel

L’année 2025 marquera un tournant dans l’évolution des menaces de rançongiciel, avec une augmentation alarmante des attaques et une reconfiguration complète du paysage des acteurs criminels. La montée en puissance de groupes comme Qilin et l’émergence de menaces novatrices représentées par The Gentlemen indiquent que les attaquants continuent d’innover pour contourner les défenses des organisations.

Face à ces défis, les entreprises françaises et européennes doivent adopter une approche proactive et stratégique de leur cybersécurité. Cela implique non seulement des investissements technologiques adéquats, mais aussi une transformation culturelle qui place la sécurité au cœur des opérations commerciales. La collaboration entre secteurs publics et privés, ainsi que le partage d’informations sur les menaces, deviennent essentiels pour contrer efficacement ces menaces évoluant rapidement.

Alors que nous nous dirigeons vers 2026, les experts s’accordent à prévoir une continuation de ces tendances, avec probablement l’émergence de nouvelles variantes de rançongiciel exploitant les technologies émergentes comme l’intelligence artificielle et l’Internet des objets. La vigilance, la préparation et la collaboration resteront les meilleurs atouts des défenseurs dans cette lutte constante contre les cybercriminels.

La menace rançongiciel, bien que plus sophistiquée que jamais, reste une menace contre laquelle les organisations bien préparées peuvent se protéger efficacement. En adoptant une approche défensive multi-couches et en maintenant une posture de sécurité proactive, les entreprises peuvent non seulement survivre à cette ère de menaces accrues, mais aussi transformer leur cybersécurité en un avantage concurrentiel durable.