Rançongiciels: Les Nouveaux Groupes qui Font Trembler la Cybersécurité en 2025
Selon un rapport de The Hacker News (mars 2025), les attaques de rançongiciels ont atteint 5 414 incidents dans le monde en 2024, marquant une augmentation de +11% par rapport à 2023. Après un premier trimestre relativement calme, les cyberattaques ont explosé au second semestre, culminant avec 1 827 attaques au quatrième trimestre (soit 33% des attaques annuelles).
🔹 LockBit, autrefois leader du marché, a été fortement impacté par des actions des forces de l’ordre, laissant la place à une fragmentation du paysage des ransomwares.
🔹 Le nombre de groupes actifs a bondi de 68 en 2023 à 95 en 2024, soit une augmentation de 40%.
🔹 En parallèle, 46 nouveaux groupes de rançongiciels sont apparus en 2024 contre seulement 27 en 2023.
🔹 LockBit, autrefois leader du marché, a été fortement impacté par des actions des forces de l’ordre, laissant la place à une fragmentation du paysage des ransomwares.
🔹 Le nombre de groupes actifs a bondi de 68 en 2023 à 95 en 2024, soit une augmentation de 40%.
🔹 En parallèle, 46 nouveaux groupes de rançongiciels sont apparus en 2024 contre seulement 27 en 2023.
RansomHub, Fog et Lynx
Depuis 2024, plusieurs nouveaux groupes de rançongiciels ont émergé. Parmi ces nouveaux acteurs, RansomHub, Fog et Lynx se distinguent par leur sophistication, leur rapidité d’expansion et leurs méthodes de cyberattaque de plus en plus perfectionnées.
Des vrais groupes de méchants:
Ces groupes ne se contentent pas d’infecter des systèmes et de chiffrer les fichiers de leurs victimes. Ils adoptent des stratégies avancées de double et triple extorsion, combinant le vol de données sensibles, la mise en ligne d’informations confidentielles et même des attaques DDoS pour contraindre les entreprises à payer des rançons exorbitantes.
Leur apparition est la conséquence d’une fragmentation accrue.
Cela fait suite notamment après le démantèlement partiel de groupes majeurs comme LockBit et ALPHV (Alpha-Vee en anglais). Cette dispersion a permis à de nouveaux groupes d’émerger, adoptant des modèles similaires tout en innovant dans leurs techniques d’attaque et leurs cibles.
Des vrais groupes de méchants:
Ces groupes ne se contentent pas d’infecter des systèmes et de chiffrer les fichiers de leurs victimes. Ils adoptent des stratégies avancées de double et triple extorsion, combinant le vol de données sensibles, la mise en ligne d’informations confidentielles et même des attaques DDoS pour contraindre les entreprises à payer des rançons exorbitantes.
Leur apparition est la conséquence d’une fragmentation accrue.
Cela fait suite notamment après le démantèlement partiel de groupes majeurs comme LockBit et ALPHV (Alpha-Vee en anglais). Cette dispersion a permis à de nouveaux groupes d’émerger, adoptant des modèles similaires tout en innovant dans leurs techniques d’attaque et leurs cibles.
- RansomHub : Apparu en 2024, RansomHub est un groupe former principalement par les anciens du groupe BlackCat!! ils travailent avec le modèle du Ransomware-as-a-Service (Rrançongiciels loué comme un service). Le groupe a rapidement gagné en notoriété, notamment en attirant des affiliés d’autres groupes majeurs tels que LockBit et ALPHV. Depuis sa création, RansomHub a revendiqué des attaques contre au moins 210 victimes, touchant divers secteurs critiques, notamment les services publics, la santé, les services financiers et les infrastructures gouvernementales.
Le groupe utilise une stratégie de double extorsion, combinant le chiffrement des systèmes et l’exfiltration de données sensibles pour faire pression sur les victimes. Les méthodes d’exfiltration varient en fonction des affiliés impliqués dans chaque attaque. - Fog : le rançongiciel Fog a été détecté pour la première fois en février 2024, ciblant initialement des institutions éducatives aux États-Unis. Le groupe a rapidement élargi son champ d’action, s’attaquant à des secteurs plus lucratifs tels que les services financiers. Par exemple, en août 2024, une tentative d’attaque contre une entreprise financière américaine a été déjouée grâce à des technologies de détection avancées.
Fog opère en exploitant des identifiants VPN compromis pour infiltrer les réseaux cibles. Une fois à l’intérieur, il utilise des techniques avancées, notamment des attaques « pass-the-hash », pour escalader les privilèges et déployer le rançongiciel. Le groupe se distingue par sa capacité à chiffrer rapidement les fichiers critiques, particulièrement les disques de machines virtuelles, et à supprimer les sauvegardes pour compliquer la récupération des données. - Lynx : c’est sans aucun doute le groupe de rançongiciels émergent, le plus efficace que j’ai pu observer à ce jour. Groupe très réfléchi et très dangereux. En décembre 2024, pour des communications spécifiques, ils ont utilisé des langages très diversifiés. Ils utilisent les langages anglophone, russophone et européen. Ce groupe est répertorié parmi les nouveaux groupes ayant un impact sur les organisations industrielles et du BTP.
Une Cybersécurité Sous Haute Pression
Face à ces nouvelles menaces, il devient impératif pour les entreprises et organisations de :
Mettre en place une politique de cybersécurité stricte (MFA, segmentation réseau, surveillance en temps réel).
Former leurs employés pour éviter les pièges de l’hameçonnage et des attaques initiales.
Mettre à jour leurs systèmes pour éviter l’exploitation de vulnérabilités connues.
Le paiement des rançons ne garantit jamais le retour des données et finance ces groupes criminels.
Il vaut mieux prévenir que subir une attaque !
N’hésiter pas à me contacter pour des séances d’informations
Mettre en place une politique de cybersécurité stricte (MFA, segmentation réseau, surveillance en temps réel).
Former leurs employés pour éviter les pièges de l’hameçonnage et des attaques initiales.
Mettre à jour leurs systèmes pour éviter l’exploitation de vulnérabilités connues.
Le paiement des rançons ne garantit jamais le retour des données et finance ces groupes criminels.
Il vaut mieux prévenir que subir une attaque !
N’hésiter pas à me contacter pour des séances d’informations
