Cet article a été mis à jour le 25 juillet 2025.
Les rançongiciels ont toujours servi à extorquer de l'argent à leurs victimes. Mais pourquoi se contenter d'un seul paiement quand on peut en obtenir trois ? Non contents des extorsions simples, les groupes de rançongiciels ont désormais recours à des extorsions doubles, voire triples.
Avec la marchandisation de la cybercriminalité, les adversaires ont considérablement accru les niveaux de sophistication de leurs opérations, et donc également les effets potentiellement dévastateurs d'une attaque par Rançongiciels.
Dans notre webinaire, Ransomware triple extorsion et vidages de fichiers Web sombres, Flare Directeur Marketing Eric Clay et CTO & Co-fondateur Mathieu Lavoie Les tendances abordées en matière d'attaques par rançongiciel ont notamment été analysées :
- double/triple extorsion
- différents types de rançongiciels
- méthodes de vol de données sensibles
Et plus encore. Visionnez le webinaire ou poursuivez votre lecture pour en savoir plus sur les tendances en matière de rançongiciels.
Comment évoluent les groupes de Rançongiciels ?
Les attaques par rançongiciel ont commencé comme une simple transaction : un cybercriminel infectait un appareil, cryptait les données de la victime et exigeait une rançon. Cependant, les groupes de rançongiciels modifient constamment leurs méthodes. tactiques, techniques et procédures (TTP)Une tendance alarmante que nous avons observée récemment est le recours par les groupes de Rançongiciels à des tactiques d'extorsion doubles, voire triples.
Qu’est-ce qu’une attaque par rançongiciel à triple extorsion ?
Dans une attaque par triple extorsion, un attaquant ne se contente pas de chiffrer les données de la victime. Il exerce des pressions supplémentaires pour contraindre cette dernière à payer une ou plusieurs rançons. Ces attaques suivent le schéma suivant :
- Les attaquants chiffrent les fichiers et exigent un paiement pour une clé de déchiffrement, rendant les systèmes et les données inutilisables et perturbant les activités des entreprises.
- Après avoir volé des données sensibles avant de les chiffrer, les attaquants menacent ensuite de les divulguer ou de les vendre si une rançon n'est pas versée.
- Le troisième niveau d'extorsion varie, bien que l'objectif reste le même : obtenir une nouvelle rançon. Les auteurs de ces actes peuvent menacer de :
- Lancer des attaques DDoS
- Harceler les clients ou autres parties prenantes
- Contactez les médias
- Ou bien ils peuvent tout simplement exiger des paiements supplémentaires après le versement de la rançon.
Certains groupes de Rançongiciels les plus sophistiqués abandonnent même complètement le chiffrement, préférant se concentrer sur l'exfiltration de données et le recouvrement de rançons. Cela offre aux cybercriminels une nouvelle opportunité de monétiser les Rançongicielss puisque, même si la rançon n'est pas payée, ils peuvent vendre l'accès aux données.
Cela ne signifie pas pour autant que tous les groupes de Rançongiciels abandonnent le chiffrement. Ce dernier continue de semer le chaos et d'engendrer des pertes pour les entreprises. Il constitue une méthode efficace pour exercer une pression et perturber les opérations, ce qui peut entraîner des pertes financières. Par conséquent, le chiffrement restera probablement une pratique courante pour de nombreux groupes, et nous verrons vraisemblablement ces derniers continuer à trouver de nouveaux moyens d'accroître leur influence et de contraindre les entreprises à payer.
L'impact croissant des voleurs d'informations sur les attaques de Rançongiciels
Les Rançongicielss et les voleurs d'informations sont de plus en plus interconnectés dans l'écosystème moderne de la cybercriminalité. Les voleurs d'informations, chevaux de Troie d'accès à distance (RAT), infectent les ordinateurs, exfiltrent des données sensibles et les compilent en Rançongicielss. de fichiers cleptogiciels, qui sont distribuées en ligne.
L'économie des rançongiciels repose sur les journaux de vol de données, qui contiennent d'énormes quantités de données utilisateur, telles que les identifiants, les cookies et jetons de session, les données de navigation, les portefeuilles de cryptomonnaies, etc. Les opérateurs de rançongiciels achètent ou collectent ces informations pour lancer leurs attaques et recherchent généralement des journaux de vol de données ou des variantes contenant des informations spécifiques, ou ciblant certains secteurs d'activité.
Le Rapport d'enquête sur les violations de données Verizon 2025 (DBIR) Il apparaît que 46 % des journaux de vol d'informations provenant d'appareils personnels contenaient des identifiants d'entreprise. De plus, le délai médian entre la divulgation de l'information par la victime d'un Rançongiciels et la détection des identifiants volés est de deux jours, ce qui indique fortement que les opérateurs de Rançongiciels exploitent des logiciels malveillants de type vol d'informations.
Prenons l'exemple des identifiants Active Directory. Active Directory (AD) est le service d'annuaire de Microsoft pour les réseaux de domaine Windows. Comme AD valide les identifiants des utilisateurs et détermine leurs droits d'accès aux ressources réseau, la compromission de ces identifiants est particulièrement dangereuse : les attaquants peuvent ainsi potentiellement prendre le contrôle total de l'infrastructure informatique d'une organisation.
Malheureusement, des identifiants Active Directory se sont retrouvés dans les journaux des voleurs de données. En 2024, Flare a découvert 569 892 journaux de vol de données contenant au moins un identifiant d'accès Active Directory., regroupant plus de 13 000 organisations uniques.
Certaines familles de voleurs d'informations semblent cibler les identifiants des services fédérés Active Directory (ADFS). En 2024, Flare a constaté que Lumma, StealC et Redline représentaient 82.5 % de tous les journaux enregistrés avec ADFS, bien que Risepro, Vidar et Bradmax soient également responsables d'une partie de ces journaux.
La marchandisation des groupes de Rançongiciels
Les groupes de Rançongiciels gagnent en sophistication et fonctionnent de plus en plus comme des entreprises légitimes. Par exemple, nombre d'entre eux emploient :
- Une approche axée sur la mission
- Pratiques de recrutement pour trouver de nouveaux employés
- Spécialisation
- Sélection et recrutement des affiliés
Par exemple, le groupe Karakurt, après avoir opéré en privé pendant un an, a publié une offre de recrutement pour attirer de nouveaux membres. Il se targue de sa mission : responsabiliser les entreprises quant aux failles de leur cybersécurité et à la négligence de leur personnel informatique. Ces groupes peuvent être motivés par des raisons à la fois financières et politiques, souvent influencées par l’évolution du contexte géopolitique, et ils communiquent ouvertement sur leurs motivations : nombre d’entre eux publient des communiqués de presse expliquant leur mission et mènent d’autres actions de relations publiques ou de marketing.
De manière générale, on distingue deux types de spécialisation au sein de ces groupes. À l'instar d'une entreprise organisée en différents départements, un groupe peut présenter une spécialisation interne. Par exemple, au sein d'un groupe spécialisé dans les rançongiciels, certains membres excellent dans la négociation des rançons, tandis que d'autres se concentrent principalement sur le développement de logiciels malveillants. Une autre forme de spécialisation consiste en des groupes individuels possédant leurs propres domaines d'expertise, à l'image des agences spécialisées au sein d'une grande entreprise. Un groupe peut se concentrer sur la distribution de rançongiciels, en collaboration avec un autre groupe spécialisé dans l'extorsion.
Cette collaboration organisée et spécialisée entre les groupes peut conduire à des opérations plus complexes et évolutives par rapport aux acteurs de la menace individuels.
Recommandations concrètes pour se protéger contre les Rançongicielss
Les rançongiciels sont en hausse ; selon Le dernier rapport d'enquête sur les violations de données (DBIR) de Verizon, Les rançongiciels étaient présents dans 44 % des violations de données, contre 32 % l'année précédente. Cependant, il existe préparation aux Rançongicielss Mesures que vous pouvez prendre pour protéger votre organisation :
- Détection: Assurez-vous que les utilisateurs disposent d'une authentification multifacteur (MFA) et utilisez la détection et la réponse aux points de terminaison (EDR) pour détecter tout type d'attaque interne et externe.
- Surveillance tierce : Effectuez une évaluation avant de commencer une nouvelle relation avec une entreprise et surveillez également en permanence la posture de sécurité du tiers.
- Surveillance du groupe de rançongiciel : Garder un œil sur les groupes de rançongiciels et toutes les listes de fichiers qui semblent pertinentes peut être utile pour découvrir plus tôt les risques éventuels au lieu d'attendre d'être averti par le tiers. Par exemple, nous avons vu le cas d'une entreprise qui surveillait des groupes de rançongiciels et qui savait trois semaines à l'avance que l'un de ses partenaires tiers avait été compromis par un rançongiciel avant de recevoir un avis de divulgation légale dudit partenaire. Cela peut donner plus de temps aux organisations concernées pour examiner les données qu'elles envoyaient au tiers piraté et commencer à remédier à la fuite de données.
- Surveillez le dark web : Assurez-vous de surveiller les marchés et les forums du dark web à la recherche d'informations d'identification volées et d'autres menaces pertinentes susceptibles d'entraîner une violation.
Surveillez les menaces externes avec des fusées éclairantes
La solution de veille sur les menaces Flare permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités couramment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour renforcer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Découvrez les menaces externes auxquelles votre organisation est exposée en vous inscrivant à notre programme. essai gratuitAnalysez les risques de Rançongiciels tout au long de votre chaîne d'approvisionnement. avec une démo.
