Les attaques par rançongiciel repartent nettement à la hausse. Selon les dernières données publiées par NCC Group, elles ont bondi de 41 % en octobre, après plusieurs mois de relative accalmie. Cette progression s’explique par un effet saisonnier, mais aussi par une évolution inquiétante : la multiplication des alliances entre groupes cybercriminels, qui renforce leur capacité d’action à l’approche des fêtes de fin d’année.
Un retour en force à l’entrée du « trimestre d’or »
Entre avril et août, l’activité ransomware était plutôt stable et même en léger recul entre avril et juin. Mais la tendance s’est inversée à la fin de l’été, avec une hausse de 28 % en septembre, suivie d’un nouveau pic en octobre. NCC Group estime que les cybercriminels intensifient leurs opérations avant une période traditionnellement propice : le quatrième trimestre. Les pics de consommation liés au Black Friday, au Cyber Monday et à Noël multiplient les cibles et les occasions d’extorsion.
En octobre, 594 attaques ont été recensées sur les sites de fuite des groupes de ransomware. Le secteur industriel reste le plus visé (167 attaques), suivi par l’automobile, le commerce de détail et les activités de loisirs (124). La santé arrive en troisième position avec 64 attaques. Géographiquement, l’Amérique du Nord concentre 62 % des incidents, loin devant l’Europe (17 %) et l’Asie (9 %).
Qilin, Sinobi et Akira en tête des groupes les plus offensifs
Le groupe Qilin est le plus actif avec 170 attaques revendiquées en octobre, soit près du tiers des incidents. Sinobi et Akira suivent, représentant ensemble 15 % des campagnes. Guidepoint Security observe également une augmentation de 57 % du nombre total de groupes actifs en un an, même si le nombre global de victimes par trimestre semble se stabiliser autour de 1 500 à 1 600.
Cette hausse ne résulte pas seulement de la multiplication des groupes, mais aussi de collaborations ponctuelles entre eux.
Des alliances informelles qui renforcent les groupes criminels
Selon NCC Group, plusieurs rapprochements entre groupes de ransomware ont été observés ces derniers mois. Même s’il ne s’agit pas encore de véritables opérations coordonnées, ces alliances servent souvent de plateforme de recrutement et d’entraide pour les affiliés.
Le cas de LockBit est révélateur : affaibli par des opérations policières en 2024, le groupe chercherait à restaurer sa réputation auprès de ses partenaires criminels en multipliant ces collaborations.
D’autres acteurs émergent sur la scène, comme The Gentlemen, qui revendique déjà 21 attaques ciblant notamment la santé, la finance et l’IT. Cette fragmentation du paysage s’explique en partie par l’abaissement des barrières techniques : des outils permettant de créer des ransomwares circulent librement, permettant à des individus peu qualifiés de lancer leurs propres campagnes.
Rapid7 constate également que les innovations tactiques se multiplient : extorsion simple, double extorsion, exploitation de failles zero day, opérations sans fichier… Au troisième trimestre, 88 groupes ont été actifs, contre 65 au deuxième.
Une sophistication croissante des méthodes d’intrusion
La dernière étude de Coveware, spécialiste de la réponse aux incidents d’extorsion, montre que les vecteurs d’intrusion restent classiques : compromission d’accès à distance, phishing, ingénierie sociale, exploitation de vulnérabilités logicielles. Mais les cybercriminels mélangent de plus en plus ces approches.
Les campagnes usurpant le support technique de services SaaS ou manipulant les procédures de sécurité OAuth illustrent la manière dont la confiance humaine peut servir d’entrée technique. Les identifiants VPN, les passerelles cloud ou les intégrations SaaS demeurent au cœur des attaques.
Coveware identifie Akira et Qilin comme les deux variantes les plus répandues du trimestre. Certains groupes abandonnent même désormais le chiffrement des fichiers pour se consacrer uniquement au vol de données, un mode d’extorsion plus rapide.
Une vigilance accrue recommandée face à la montée des risques
Matt Hull, responsable du renseignement chez NCC Group, indique que plus de 200 variantes de rançongiciels ont été recensées depuis le début de l’année. Pour lui, l’intensification actuelle impose une vigilance renforcée. Il encourage les entreprises à tester leurs plans de réponse à incident, renforcer leurs dispositifs de sauvegarde, sensibiliser leurs collaborateurs et surveiller activement les comportements suspects.
À l’approche de la période de fin d’année, historiquement l’une des plus risquées, la préparation et l’anticipation restent les meilleures armes pour éviter de devenir la prochaine victime.
