Au milieu de l'année 2025, la chute de Lockbit, autrefois leader incontesté du secteur, a profondément marqué le paysage des Rançongicielss, laissant place à un chaos sans précédent. Des groupes de Rançongiciels aux méthodes peu sophistiquées ont alors profité de cette situation pour combler le vide laissé dans l'écosystème de la cybercriminalité.
Dans cet épisode de Leaky Weekly, notre podcast d'actualités sur la cybercriminalité, Tammy Harper, chercheuse principale en renseignement sur les menaces chez Flare, rejoint l'animateur et chercheur en sécurité Nick Ascoli pour discuter des répercussions de l'opération Cronos qui a contribué à ternir la réputation de LockBit, et de ce que ce bouleversement a provoqué dans le monde des Rançongicielss.
Écoutez le podcast sur Spotify, Sur Podcasts Apple, sur YouTube ci-dessous, et/ou continuez à lire cet article pour en découvrir les points saillants.
La chute de LockBit fut à la fois stratégique et symbolique.
Autrefois force dominante dans le domaine des Rançongicielss, la chute de LockBit n'est pas due à un coup unique, mais à une attaque calculée contre son atout le plus critique : sa réputationL'opération Cronos, un démantèlement coordonné de l'infrastructure de LockBit par les forces de l'ordre, a été dévastatrice. Mais les dégâts les plus importants sont apparus après le raid : des données qui auraient dû être supprimées conformément aux accords de rançon étaient toujours actives sur leurs serveurs.
« Tout repose sur la confiance », a fait remarquer Tammy. « Lorsque cette confiance s'est érodée, leur base d'affiliés et leur marque ont suivi la même voie. »
À son apogée, LockBit revendiquait plus de 100 affiliés actifs et publiait des dizaines de victimes par semaine. Aujourd'hui ? Seulement une ou deux publications par mois, dont beaucoup sont probablement des rediffusions ou des visites de faible valeur.
L'exode des affiliés et la montée en puissance de RansomHub
Le modèle basé sur l'affiliation qui a alimenté Verrouillage Sa perte est survenue une fois l'illusion de fiabilité brisée. Les sanctions contre des groupes comme Evil Corp et le risque de poursuites judiciaires dissuadait également les victimes de payer.
Pour endiguer l'hémorragie, LockBit a drastiquement baissé les prix de son programme d'affiliation et s'est lancé dans des négociations à prix cassés, exigeant parfois seulement quelques dizaines de milliers de dollars au lieu de commissions à six chiffres. Malgré tout, cela n'a pas suffi.
Alors que LockBit s'effondrait, RansomHub Elle s'est imposée comme successeur, absorbant des filiales non seulement de LockBit, mais aussi ALPHV (Chat Noir)RansomHub, qui s'est effondré à peu près au même moment, a bénéficié d'une solution de repli temporaire grâce à sa flexibilité, au partage des paiements et à sa continuité opérationnelle.
Le partage d'articles sur plusieurs plateformes n'est plus l'exception, c'est la norme.
L’année 2024 a vu l’explosion d’une nouvelle tactique dans le monde des Rançongicielss : la publication croisée, où la même victime est répertoriée par plusieurs groupes de Rançongicielss.
Il y a trois raisons principales à cela :
- Accès partagé depuis de fichiers cleptogiciels: Lorsque les acteurs malveillants s'appuient sur des flux Telegram automatisés ou sur des plateformes de partage de journaux de voleurs, un même ensemble d'identifiants compromis peut se retrouver entre plusieurs mains.
- Le saut d'affiliation : Un affilié peut tenter d'extorquer de l'argent à un groupe de Rançongiciels, échouer à obtenir le paiement et passer à un autre groupe offrant des conditions plus favorables ou une présence de marque plus forte, en ciblant à nouveau la même victime.
- Arnaques pures et simples : L'émergence de groupes de Rançongiciels « repackaging » — comme JD Locker, Babu 2.0 et Satan Locker — a apporté une nouvelle tournure : la publication d'anciennes victimes, le recyclage de données publiques et l'usurpation d'identité de groupes de menaces légitimes dans l'espoir d'escroquer des entreprises désespérées.
« C'est du Rançongiciels sans Rançongiciels », plaisanta Nick. « Juste des données et de l'extorsion, souvent volées à quelqu'un qui les a déjà volées. »
Le métro est submergé par le bruit
Ce qui était autrefois un écosystème relativement stable de groupes menaçants dotés de codes de conduite internes s'est transformé en quelque chose d'inconnaissable.
Des groupes traditionnels comme ContiLockBit, et même les premières opérations d'ALPHV, possédaient une structure, une direction et une éthique (aussi tordue soit-elle) — avec notamment des règles concernant les données pouvant être divulguées ou la vérification des affiliés. Aujourd'hui ? C'est le chaos.
« C’est comme si la vieille garde prenait sa retraite », a déclaré Tammy. « Et ce qui comble le vide, c’est un fouillis de bruit superficiel et avide d’attention. »
Des groupes sans aucune rigueur opérationnelle publient tout et n'importe quoi : affirmations exagérées, données recyclées et changement d'image quasi hebdomadaire. Si quelques groupes émergents comme DragonForce et Qilin maintiennent une discipline interne, la majeure partie de la scène est envahie par des opportunistes.
Le marché des Rançongicielss est-il en déclin ou simplement en pleine mutation ?
Le paysage des rançongiciels en 2025 est imprévisible. Les forces de l'ordre se montrent plus agressives. Les sanctions portent leurs fruits, du moins en partie. Et si les extorsions doubles et triples persistent, la multiplication des fuites de données et des groupes d'escrocs a engendré une crise de crédibilité.
Pourtant, le modèle économique sous-jacent reste attractif. L'émergence d'outils basés sur l'IA et un meilleur accès aux vecteurs d'intrusion initiaux (en partie grâce à Telegram marchés de voleurs et IAB) garantit que les Rançongicielss continueront d'évoluer.
Une chose est sûre : la prochaine vague de rançongiciels sera différente de LockBit et Conti. Elle sera plus bruyante, plus chaotique et, peut-être, encore plus difficile à contrer.
Leaky Weekly et Flare Academy
Pour une analyse plus approfondie de ces tendances, écoutez l'épisode complet sur YouTube, Spotify, Podcasts Apple.
Proposé par Flare, la base de données sur la cybercriminalité la plus facile à utiliser et la plus complète au monde, qui s'intègre à votre programme de sécurité en 30 minutes. Découvrez ce qui se trouve sur le dark web (et plus encore) concernant votre organisation.
Flare propose désormais la formation Flare Academy, notre série de formations (gratuites !) animée par des experts et couvrant des sujets essentiels tels que le renseignement sur les menaces, la sécurité opérationnelle et les techniques d'investigation avancées. Vous pouvez également obtenir des crédits CPE pour vos certifications en cybersécurité. Inscrivez-vous dès maintenant ! Prochain entraînement ici.
Rejoignez-nous à Flare AcademyNos formations (gratuites !) peuvent donner un nouvel élan à votre carrière en cybersécurité. Animées par des experts, elles abordent des sujets essentiels tels que le renseignement sur les menaces, la sécurité opérationnelle et les techniques d'investigation avancées. Vous pouvez également obtenir des crédits de formation continue (CPE) pour vos certifications en cybersécurité.
Rejoignez le serveur Discord de la communauté Flare Academy Pour rester au courant des formations à venir, consultez les ressources des formations précédentes, discutez avec des professionnels de la cybersécurité (dont Nick et Tammy !), et bien plus encore.
