Attaques de ransomware en hausse record en 2025 : nouvelle donne avec l'émergence de leaders agressifs

Théophane Villedieu

Attaques de ransomware en hausse record en 2025 : nouvelle donne avec l’émergence de leaders agressifs

Selon le dernier rapport de Cyble, les attaques de ransomware ont bondi de 50% en 2025, atteignant un chiffre record de 5 010 incidents signalés sur les sites de fuite de données du dark web jusqu’au 21 octobre, contre 3 335 pour la même période en 2024. Cette augmentation significative survient malgré des changements majeurs parmi les groupes de ransomware leaders, marquant une ère nouvelle dans le paysage des menaces cyber.

« Du déclin de RansomHub à la montée en puissance de Qilin et à l’apparition de nouveaux acteurs comme Sinobi et The Gentlemen, la direction des groupes de ransomware a été en flux constant durant la plus grande partie de 2025, mais les affiliés ont rapidement trouvé de nouvelles opportunités, et un approvisionnement constant en vulnérabilités critiques a aidé à alimenter ces attaques », explique Cyble dans son analyse.

Cette tendance s’inscrit dans un contexte général où le paysage cyber devient plus dangereux en 2025, avec des enregistrements de violations de données et des attaques de chaîne d’approvisionnement documentés dans le nouveau rapport sur le paysage des menaces de l’entreprise.

L’évolution de la menace : nouveaux leaders et redéfinition du paysage

La montée en puissance de Qilin comme acteur dominant

Septembre 2025 a marqué la cinquième augmentation mensuelle consécutive des attaques de ransomware, avec Qilin menant la charge pour la cinquième fois en six mois. Le groupe s’est solidement installé en tête du classement suite au déclin de RansomHub, consolidant ainsi sa position comme l’acteur le plus agressif et efficace du moment.

Au total, les groupes de ransomware ont revendiqué 474 victimes en septembre, en légère augmentation par rapport à août. Ce chiffre, bien que inférieur au record de février, « reste parmi les totaux mensuels d’attaques de ransomware les plus élevés jamais enregistrés », souligne Cyble.

La fragmentation et l’émergence de nouveaux acteurs agressifs

L’écosystème du ransomware en 2025 se caractérise par une fluidité remarquable, avec des groupes qui apparaissent et disparaissent à un rythme accéléré. Cette fragmentation, bien que semblant affaiblir la menace globale, en réalité la rend plus imprévisible et plus difficile à contrer.

« L’apparition de The Gentlemen constitue un développement notable, un nouveau groupe qui a déjà revendiqué 46 victimes. L’utilisation par le groupe d’outils personnalisés ciblant des fournisseurs de sécurité spécifiques et la diversité géographique de ses cibles suggèrent que ce groupe dispose des ressources nécessaires pour devenir une menace durable. »

Analyse géographique des cibles : qui est visé et pourquoi ?

Les États-Unis : cible privilégiée malgré les efforts de renforcement

Les États-Unis restent de loin la plus grande cible des groupes de ransomware, avec 259 victimes en septembre seulement, représentant près de 55% de toutes les attaques. Cette concentration s’explique par plusieurs facteurs : la densité d’entreprises technologiques, la valeur des données sensibles, et parfois des vulnérabilités dans les pratiques de cybersécurité.

Les pays européens comme l’Allemagne, la France, le Canada, l’Espagne, l’Italie et le Royaume-Uni restent des cibles constantes, mais une tendance préoccupante émerge avec la Corée du Sud qui s’est imposée comme nouvelle cible majeure, se classant deuxième derrière les États-Unis avec 32 attaques, principalement dues à une campagne ciblée de Qilin.

La Corée du Sud : nouvelle frontière des attaques

Des 32 attaques enregistrées en Corée du Sud en septembre, 29 provenaient de la campagne « KoreanLeak » de Qilin, qui visait spécifiquement des sociétés de gestion d’actifs dans le pays. Cyble a noté que « l’une des sociétés de gestion d’actifs a déclaré que ses systèmes avaient été impactés par une attaque de ransomware contre son fournisseur de services informatiques, indiquant une compromission possible de la chaîne d’approvisionnement affectant plusieurs entreprises simultanément ».

Cette campagne a également fait de la Corée du Sud de loin le pays le plus attaqué de la région Asie-Pacifique en septembre, devançant largement l’Inde, la Thaïlande et Taïwan.

Analyse sectorielle : quels secteurs sont les plus vulnérables ?

Construction et fabrication : cibles prioritaires

La campagne de Qilin en Corée du Sud a propulsé le secteur des services bancaires, financiers et d’assurance (BFSI) au troisième rang des secteurs les plus attaqués en septembre, derrière la construction et la fabrication, et devant les services professionnels, les technologies de l’information et la santé.

Cette préférence pour les secteurs de la construction et de la fabrication s’explique par plusieurs facteurs :

  • Dépendance aux systèmes industriels souvent moins sécurisés
  • Valeur économique des données de conception et de production
  • Impact potentiel plus important sur les opérations
  • Complexité des défenses dans les environnements de type OT/IT

La vulnérabilité croissante des services financiers

Le secteur bancaire et financier, bien que moins touché que la construction, représente une cible de choix pour les groupes de ransomware en raison de :

  • La valeur monétaire immédiate des données
  • La pression opérationnelle pour restaurer les services rapidement
  • Les conséquences réglementaires potentiellement graves
  • La sensibilité des informations clients et transactionnelles

Cas d’étude : la campagne KoreanLeak de Qilin

Stratégie et technique d’attaque

La campagne KoreanLeak représente un excellent exemple des nouvelles tactiques employées par les groupes de ransomware en 2025. Au lieu d’attaquer directement les cibles finales, Qilin a ciblé les fournisseurs de services informatiques, créant ainsi un effet domino affectant multiples clients simultanément.

Cette approche de chaîne d’approvisionnement permet d’amplifier l’impact d’une seule attaque et de contourner les défenses mises en place par les entreprises cibles finales. Dans la pratique, cela signifie qu’une entreprise peut être compromise non pas par ses propres failles, mais par celles de ses partenaires technologiques.

Conséquences et leçons apprises

Le cas des sociétés de gestion d’actifs coréennes nous enseigne plusieurs leçons cruciales :

  1. La véritabilité des défenses ne dépend pas seulement de ses propres systèmes, mais aussi de ceux de ses fournisseurs
  2. Les audits de sécurité des tiers doivent être approfondis et réguliers
  3. Les plans de réponse doivent inclure des scénarios d’attaque par chaîne d’approvisionnement
  4. La transparence avec les clients en cas d’incident devient un enjeu critique

L’émergence de The Gentlemen : une nouvelle menace sophistiquée

Profil et méthodes d’un acteur émergent

Si Qilin domine actuellement le paysage, l’apparition de The Gentlemen mérite une attention particulière. Ce groupe relativement nouveau a déjà revendiqué 46 victimes, démontrant une capacité d’adaptation impressionnante et une sophistication technique notable.

Ce qui distingue The Gentlemen est son approche ciblée :

  • Utilisation d’outils personnalisés conçus pour contourner les défenses spécifiques
  • Diversité géographique des cibles, indiquant une logistique internationale
  • Techniques d’intrusion avancées suggérant une expertise technique solide

Potentiel de menace à long terme

« L’utilisation par le groupe d’outils personnalisés ciblant des fournisseurs de sécurité spécifiques et la diversité géographique de ses cibles… suggère que le groupe dispose des ressources nécessaires pour devenir une menace durable », analyse Cyble.

Cette évaluation soulève une question préoccupante : si The Gentlemen continue sur cette lancée, nous pourrions assister à la consolidation d’un nouveau leader majeur du ransomware, ajoutant une couche de complexité supplémentaire à un paysage déjà instable.

Stratégies de défense adaptées à la menace de 2025

Renforcement de la résilience organisationnelle

Face à l’évolution rapide des menaces, les organisations doivent adopter une approche holistique de leur cybersécurité, intégrant plusieurs couches de défense :

  1. Mesures techniques immédiates :

    • Mises à jour de sécurité régulières et automatisées
    • Segmentation rigoureuse des réseaux
    • Solutions de détection et de réponse aux points d’accès (EDR/XDR)
    • Sauvegardes immuables et testées régulièrement

  2. Mesures organisationnelles :

    • Formation régulière du personnel aux nouvelles techniques d’hameçonnage
    • Plans de réponse aux incidents testés et mis à jour
    • Gestion rigoureuse des accès privilégiés
    • Évaluations continues de la vulnérabilité des fournisseurs

Approche proactive de la gestion des risques

La meilleure défense contre le ransomware moderne consiste à adopter une posture offensive dans la gestion des risques :

  • Veille sur les menaces : surveillance active des campagnes et techniques émergentes
  • Participation aux programmes de bug bounty pour identifier les vulnérabilités avant les attaquants
  • Collaboration avec les autorités et partage d’informations sectorielles
  • Investissement dans la cybersurveillance pour détecter les activités anormales

Leçons de l’année 2025 : tendances et perspectives

Les tendances dominantes du ransomware en 2025

L’analyse des attaques de 2025 révèle plusieurs tendances dominantes qui façonneront probablement la menace cyber dans les années à venir :

  1. Spécialisation sectorielle : les groupes ciblent désormais des secteurs spécifiques avec des techniques adaptées
  2. Attaques par chaîne d’approvisionnement : les fournisseurs deviennent des vecteurs privilégiés
  3. Émergence d’acteurs nationaux : certains groupes bénéficient d’un soutien étatique implicite
  4. Monétisation sophistiquée : diversification des revenus au-delà des rançons
  5. Évasion des défenses : techniques avancées pour contourner les solutions de sécurité traditionnelles

Perspectives pour 2026 : vers une intensification des menaces

Si les tendances actuelles se maintiennent, nous pouvons nous attendre à une intensification des menaces en 2026, avec :

  • Une consolidation des groupes les plus sophistiqués
  • Une augmentation des attaques contre les infrastructures critiques
  • Une sophistication accrue des techniques d’intrusion
  • Une monétisation plus agressive des données volées
  • Une internationalisation croissante des groupes de ransomware

Conclusion : se préparer à la nouvelle ère du ransomware

L’année 2025 marque un tournant dans l’évolution des attaques de ransomware, avec une augmentation de 50% des incidents et l’émergence de nouveaux acteurs agressifs comme Qilin et The Gentlemen. Ces tendances révèlent un paysage cyber de plus en plus complexe et dangereux, où la simple mise en place de défenses traditionnelles ne suffit plus.

Face à cette réalité, les organisations doivent adopter une approche proactive et adaptative de leur sécurité, intégrant une gestion rigoureuse des risques, une veille constante sur les menaces émergentes, et des partenariats stratégiques avec les autorités et le secteur privé.

La résilience organisationnelle devient l’objectif ultime, combinant technologie robuste, processus bien définis, et culture de sécurité ancrée à tous les niveaux. Comme le montrent les cas d’étude analysés, la défense efficace contre le ransomware moderne ne relève plus seulement de la responsabilité des équipes informatiques, mais engage l’ensemble de l’organisation, y compris ses partenaires et fournisseurs.

Alors que nous nous dirigeons vers 2026, une chose est certaine : la lutte contre le ransomware continuera d’évoluer, exigeant des défenseurs la même agilité et la même détermination que celle que nous observons chez les attaquants.