Ransomware Attacks Have Soared in 2025 as New Leaders Emerge

Églantine Montclair

Ransomware Attacks Have Soared in 2025 as New Leaders Emerge

L’explosion des cyberattaques ransomware en 2025 : Contexte et Analyse

Selon le dernier rapport de Cyble, les attaques ransomware ont connu une augmentation sans précédent en 2025, avec une progression de 50% par rapport à la même période en 2024. Jusqu’au 21 octobre, les groupes criminels ont revendiqué 5 010 attaques sur leurs sites de fuites de données, contre 3 335 occurrences en 2024. Cette dynamique s’inscrit dans un contexte de mutation des acteurs du cybercriminalité, marquée par le déclin de RansomHub et l’essor de nouveaux groupes comme Qilin, Sinobi et The Gentlemen.

Les facteurs déclencheurs de cette crise

La combinaison de plusieurs éléments a alimenté cette explosion des attaques :

  • Une prolifération des vulnérabilités critiques non corrigées
  • Une rentabilisation accrue des ransoms grâce à l’écosystème des cryptomonnaies
  • Une spécialisation des groupes criminels en modèles d’extorsion hybrides (double et triple extorsion)
  • Un accès facilité aux chaînes d’approvisionnement comme vecteur d’intrusion

Les nouveaux leaders du ransomware : Stratégies et Impact

Qilin : Le dominator mondialement

Pour la cinquième fois en six mois, Qilin a maintenu sa position de tête des groupes de ransomware en septembre 2025, avec 99 victimes revendiquées. Son opération “KoreanLeak” a été particulièrement significative, ciblant 29 entreprises de gestion d’actifs sud-coréennes via un fournisseur de services IT, illustrant la menace croissante des attaques en chaîne d’approvisionnement.

Tableau comparatif des groupes majeurs en septembre 2025

Groupe criminelVictimes revendiquéesStratégie distinctive
Qilin99Campagnes sectorielles ciblées
Akira59Focus sur les infrastructures critiques
The Gentlemen46Utilisation d’outils personnalisés
Sinobi32Ciblage des marchés émergents

The Gentlemen : Une entrée marquante

Ce nouveau groupe a généré un intérêt particulier par son utilisation d’outils personnalisés ciblant des fournisseurs de sécurité, ainsi que par la diversité géographique de ses victimes. Selon les experts de Cyble, cette combinaison de critères suggère que le groupe dispose des ressources nécessaires pour devenir une menace persistante sur le long terme.

La géopolitique du ransomware : Décryptage des zones de prédilection

Le déplacement des cibles géographiques

Bien que les États-Unis restent la cible la plus fréquente avec 259 victimes (55% des attaques en septembre), une reconfiguration géographique s’est opérée :

  • Corée du Sud : 32 attaques, principalement par Qilin
  • Région APAC : Corée du Sud devient le pays le plus visé, devant Inde, Thaïlande et Taïwan
  • Europe : Maintien d’une attention soutenue sur pays comme Royaume-Uni, France et Allemagne

Le secteur public et privé : Quelles vulnérabilités ?

En septembre 2025, les quatre secteurs les plus concernés par les attaques ransomware étaient :

  1. Construction et Manufacturing (48 attaques)
  2. BFSI (Banking, Financial Services, Insurance) avec 32 attaques
  3. Services professionnels, IT et Santé (27 attaques)

Cette répartition souligne la priorisation des attaques visant à maximiser les réclamations financières et à perturber les fonctions critiques.

Les dimensions techniques et structurelles du ransomware

Les méthodes d’exploitation modernes

Les attaques de 2025 ont montré une sophistication accrue dans plusieurs domaines :

  • Double extorsion : Récupération et cryptage des données
  • Triple extorsion : Ajout de menace de DDOS parallèle
  • Cyber-intelligence : Mise en place de backdoors persistants
  • Chaine d’approvisionnement : Attaques des fournisseurs pour toucher plusieurs clients simultanément

L’écosystème criminel : Modèles opérationnels

Le rapport Cyble souligne le passage d’une logique de团伙 isolated à un modèle plus structuré incluant :

  • Des affiliés spécialisés par secteur
  • Des services de support technique 24/7
  • Des plateformes de marketing pour renforcer la réputation
  • Des systèmes de partage de données entre gangs

Les recommandations stratégiques pour les organisations

Mesures de prévention innovantes

Pour contrer cette menace croissante, les experts conseillent :

  1. Renforcement des contrôles de sécurité selon les normes ISO 27001 et les bonnes pratiques ANSSI
  2. Stratégie de patching automatisée pour les vulnérabilités critiques
  3. Systèmes de backup déconnectés avec validation régulière
  4. Formation continue du personnel aux techniques d’ingénierie sociale
  5. Programme de cybersécurité basé sur le modèle NIST

La gouvernance et la résilience organisationnelle

Les organisations doivent également :

  • Mettre en place des plans de réponse aux incidents testés régulièrement
  • Établir des indicateurs de performance de cybersécurité (KPIs)
  • Collaborer avec les autorités compétentes et les organismes de prévention
  • Impliquer les parties prenantes dans la prise en compte des risques logiciels tiers

Conclusion : Vers un combat permanent contre le ransomware

La progression spectaculaire des attaques ransomware en 2025 marque une nouvelle étape dans l’évolution des cybermenaces. La concentration sur les chaînes d’approvisionnement, la diversification des stratégies et l’adaptation constante aux évolutions techniques des défenses rendent ce phénomène particulièrement complexe.

Pour les professionnels de la cybersécurité et les dirigeants des organisations, cette situation appelle à une vigilance accrue, à une adaptation permanente des stratégies défensives, et à une collaboration renforcée au niveau national et international. La maîtrise des risques liés aux ransomware nécessite désormais une approche intégrée alliant technologies, organisation et anticipation des évolutions criminelles.