top of page
Rechercher

Attaques de rançongiciels en 2025 : la guerre continue

  • Terry Telford
  • 12 mai
  • 11 min de lecture

 


graphique vert représentant un ransomware

La guerre entre les hackers blancs et les hackers noirs continue d'être dominée par l'IA, qui alimente les attaques par rançongiciel et l'ingénierie sociale. Tandis que les spécialistes de la cybersécurité élaborent des mécanismes de défense pour contrer les attaques, les acteurs malveillants grossissent leurs rangs en facilitant l'adhésion au côté obscur. Les rançongiciels en tant que service (Raas) facilitent l'adhésion au côté obscur et accroissent exponentiellement la nécessité pour les entreprises de renforcer leur cybersécurité.


Les conséquences concrètes des attaques de rançongiciels réussies incluent la perturbation de services vitaux comme les soins de santé, l'énergie et même notre accès aux biens de première nécessité. Cela souligne l'urgence d'une compréhension globale et d'une atténuation proactive.


Les conséquences financières des attaques par rançongiciel ont considérablement augmenté. L'attention s'est déplacée des victimes individuelles vers des cibles plus lucratives et perturbatrices, ciblant des chaînes d'approvisionnement complexes, amplifiant le risque de chaos généralisé et de pertes financières importantes.


Cette évolution sombre est contrée par des manœuvres défensives de la part des organismes gouvernementaux et des fournisseurs de cybersécurité. Votre première défense contre les attaques de rançongiciels consiste à vous doter des connaissances nécessaires pour renforcer vos défenses numériques contre cette menace omniprésente.


Principales tendances en matière d'attaques de ransomware en 2025


Les acteurs malveillants poursuivent sans relâche leurs attaques. Plusieurs tendances clés devraient perdurer en 2025 :


  • Attaques contre la chaîne d'approvisionnement : Cibler les réseaux interconnectés reste une tactique très efficace. En attaquant une seule entité, souvent moins bien protégée, au sein d'une chaîne d'approvisionnement, les attaquants peuvent compromettre une multitude d'organisations en aval. L'analyse des attaques passées peut contribuer à sécuriser l'avenir. Deux attaques récentes notables :

    • MOVEit Transfer : Cet incident a débuté en mai 2023 et, à ses débuts, il ne s'agissait pas directement d'une attaque par rançongiciel. Il s'agissait de l'exploitation d'une vulnérabilité critique d'injection SQL zero-day dans le logiciel MOVEit Transfer de Progress Software. Le groupe de rançongiciels Clop a exploité cette vulnérabilité pour obtenir un accès non autorisé aux bases de données de MOVEit Transfer. L'objectif principal des attaques initiales était le vol de données. Les attaquants ont déployé un shell web appelé LEMURLOOT pour dérober des informations sensibles sur les systèmes compromis. Après le vol de données, le groupe Clop a utilisé les données volées à des fins d'extorsion, menaçant de les divulguer publiquement si leurs demandes n'étaient pas satisfaites. Cette tactique s'inscrit dans le modèle de double extorsion souvent associé aux groupes de rançongiciels. Si la compromission initiale s'est faite par l'exploitation d'une vulnérabilité ayant conduit au vol de données, l'implication du groupe de rançongiciels Clop et ses tactiques d'extorsion ultérieures font entrer cette attaque indécente dans l'écosystème des rançongiciels. Par conséquent, bien que la violation initiale ne soit pas le déploiement de systèmes de cryptage de ransomware, elle a évolué vers une campagne d'extorsion menée par un groupe de ransomware connu utilisant des données volées et brouillant les lignes.

    • Kaseya : Cette cyberattaque, survenue le 2 juillet 2021, était une attaque de rançongiciel d'envergure visant la chaîne d'approvisionnement. Elle exploitait les vulnérabilités du logiciel VSA (Virtual System Administrator) de Kaseya, un outil de surveillance et de gestion à distance utilisé par les fournisseurs de services gérés (MSP). L'attaque exploitait une vulnérabilité de contournement d'authentification zero-day au sein des serveurs VSA de Kaseya. Cela a permis aux attaquants de contourner l'authentification et d'exécuter des commandes par injection SQL. Le groupe de rançongiciels REvil (également connu sous le nom de Sodinokibi), lié à la Russie, a exploité cet accès pour déployer sa charge utile de rançongiciel. Ils ont diffusé le rançongiciel via ce qui semblait être une mise à jour logicielle légitime de la plateforme VSA de Kaseya. Comme les MSP utilisent Kaseya VSA pour gérer l'infrastructure informatique de plusieurs clients en aval, l'attaque a eu un effet en cascade. On estime que l'attaque a touché une soixantaine de clients MSP directs de Kaseya, entraînant le chiffrement des données et la perturbation des opérations de 800 à 1 500 entreprises en aval dans 17 pays. Il s'agit de l'une des plus importantes attaques de rançongiciels visant la chaîne d'approvisionnement jamais enregistrées. REvil a exigé la somme faramineuse de 70 millions de dollars en cryptomonnaie pour une clé de déchiffrement universelle permettant de déverrouiller tous les systèmes affectés. Des rançons moins importantes ont également été demandées aux victimes individuelles. Les attaquants ont ciblé Kaseya car la compromission de son logiciel leur permettait d'atteindre simultanément un grand nombre de leurs clients MSP et, par la suite, les clients de ces derniers. L'attaque de Kaseya a mis en évidence les risques importants liés aux vulnérabilités de la chaîne d'approvisionnement et le potentiel de perturbations généralisées à partir d'un seul point de compromission.

  • L'essor de la triple extorsion : Le modèle initial d'attaque par rançongiciel, impliquant le chiffrement des données et la demande de clés de déchiffrement, a évolué. La double extorsion a introduit l'exfiltration de données, augmentant ainsi la menace de fuites de données publiques. Aujourd'hui, la triple extorsion gagne du terrain. Cette tactique avancée combine chiffrement, vol de données et pressions supplémentaires, comme le ciblage direct des clients ou des partenaires commerciaux de la victime. La triple extorsion augmente considérablement la probabilité de paiement d'une rançon, rendant primordiales des stratégies de sauvegarde et de récupération résilientes.

  • La démocratisation de la cybercriminalité grâce au rançongiciel en tant que service (RaaS) : L'expertise technique requise pour lancer une attaque sophistiquée par rançongiciel a été considérablement réduite par l'essor du RaaS. Ce modèle fournit aux cybercriminels en herbe du code de rançongiciel prêt à l'emploi et l'infrastructure nécessaire pour exécuter leurs campagnes, souvent sur la base d'un abonnement ou d'un partage des bénéfices. Cette accessibilité a entraîné une prolifération des auteurs de rançongiciels et une augmentation correspondante du volume des attaques. Comprendre l'écosystème RaaS est crucial pour une veille sur les menaces efficace et une défense proactive.

  • Le danger persistant des vulnérabilités non corrigées : Malgré l'attrait des exploits zero-day, une part importante des attaques de ransomware réussies continuent d'exploiter des vulnérabilités bien connues dans des logiciels et systèmes non corrigés. Cela souligne un principe fondamental de cybersécurité : l'importance cruciale d'une mise à jour diligente et rapide des correctifs. Les attaquants recherchent et exploitent activement les systèmes dotés de logiciels obsolètes, faisant de la gestion proactive des correctifs la pierre angulaire de toute défense robuste.

  • L'efficacité durable du phishing : Malgré les progrès des technologies de sécurité, le phishing reste un point d'entrée majeur pour de nombreuses attaques de rançongiciels. Le facteur humain demeure une vulnérabilité importante. La sophistication croissante des e-mails de phishing, alimentée par l'IA générative (GenAI), rend leur détection plus difficile. Une formation complète des employés aux tactiques d'ingénierie sociale et la mise en œuvre de mesures de sécurité robustes pour la messagerie électronique sont essentielles pour atténuer ce vecteur de menace persistant.


Statistiques sur les ransomwares signalées en 2025 pour l'année précédente


Le paysage statistique des attaques de ransomware en 2025 dresse un tableau saisissant d’une menace croissante et omniprésente :

  • Selon Check Point, les attaques de ransomware ont augmenté de 126 % au premier trimestre 2025 par rapport au premier trimestre 2024, avec un total de 2 289 incidents signalés.

  • L’Amérique du Nord a représenté la majorité (62 %) des attaques mondiales de ransomware signalées au premier trimestre 2025.

  • Halcyon a signalé que la demande moyenne de rançon a diminué de 22 % d'une année sur l'autre pour atteindre 1,1 million de dollars.

  • Les biens et services de consommation ont été le secteur le plus ciblé par les attaques de ransomware au premier trimestre 2025, représentant 13,2 % des victimes, selon Check Point.

  • L'unité 42 a signalé que 86 % des cas de réponse aux incidents au début de 2025 impliquaient des perturbations d'activité, notamment des temps d'arrêt opérationnels et des atteintes à la réputation liées à des événements tels que les ransomwares.


Ces statistiques soulignent collectivement le danger croissant et omniprésent que représentent les attaques de ransomware dans tous les secteurs.


Principaux secteurs d'activité ciblés par les ransomwares


Si tous les secteurs sont exposés au risque d'attaque par rançongiciel, certains secteurs ont historiquement été davantage ciblés. Comprendre ces tendances permet aux entreprises de ces secteurs d'activité de prioriser leurs investissements en matière de sécurité :


  1. Gouvernement central et fédéral : L’enquête 2024 de Sophos a révélé que 68 % des organisations gouvernementales centrales ont subi des attaques par rançongiciel, potentiellement liées aux tensions géopolitiques. Ce secteur a également fait face à la demande de rançon médiane la plus élevée, soit 7,7 millions de dollars. L’attaque perpétrée en 2022 au Costa Rica par le gang Conti, qui a paralysé plusieurs agences fédérales, en est un exemple frappant.

  2. Santé : Avec ses opérations à enjeux élevés et ses vulnérabilités souvent généralisées, le secteur de la santé demeure une cible privilégiée. En 2024, deux établissements de santé sur trois ont signalé des attaques récentes par rançongiciel. Ce secteur a également affiché une forte probabilité (57 %) de payer une rançon supérieure à la demande initiale.

  3. Infrastructures énergétiques et de services publics : Avec un taux d'attaque de 67 % entre les enquêtes Sophos de 2023 et 2024, ce secteur est systématiquement ciblé en raison du risque de perturbations importantes. L'exploitation de vulnérabilités a été à l'origine de près de la moitié de ces incidents. L'attaque de Colonial Pipeline rappelle brutalement les graves conséquences des attaques par rançongiciel sur les infrastructures critiques.

  4. Enseignement supérieur : Avec un taux d’attaque de 66 %, les établissements d’enseignement supérieur demeurent une cible importante. Ce secteur était également le plus susceptible de payer des rançons plus élevées que celles initialement exigées, probablement en raison d’un engagement envers la récupération des données et d’un accès limité à une expertise en négociation. La fermeture du Lincoln College en 2022, en partie attribuée à une attaque par rançongiciel, souligne la gravité de ces attaques.

  5. Services financiers : Avec un taux d’attaque de 65 %, le secteur des services financiers constitue une cible de choix. Il est à noter que ce secteur affiche les taux de chiffrement des données les plus faibles et est celui qui a le mieux négocié des rançons moins élevées. Les autorités ont averti qu’une attaque de rançongiciel majeure contre ce secteur pourrait déclencher une crise financière majeure.

  6. Industrie manufacturière et production : Ce secteur a enregistré la plus forte hausse annuelle des taux d'attaque en 2024, atteignant 65 %. Bien que fortement ciblés, les fabricants ont également enregistré la plus forte réduction des paiements de rançons par négociation. L'attaque contre JBS USA, un important fournisseur de viande, démontre le potentiel de perturbations opérationnelles importantes.

  7. Enseignement primaire : Bien que le taux d'attaque dans l'enseignement primaire ait diminué à 63 % en 2024, ce secteur reste confronté à des risques importants, notamment la compromission des sauvegardes et une tendance à payer des rançons plus élevées. La fermeture du district scolaire de Chambersburg, en Pennsylvanie, met en évidence les conséquences perturbatrices pour les élèves et leurs familles.

  8. Médias, divertissement et loisirs : avec un taux d'attaque de 62 %, ce secteur affiche un taux élevé d'utilisation des sauvegardes, mais est également très susceptible de payer des rançons pour récupérer des données. Les attaques visant des entreprises comme Macmillan Publishers, Cox Media Group et Sinclair Broadcast Group ont entraîné d'importantes perturbations opérationnelles.

  9. Construction et immobilier : 62 % des entreprises de ce secteur ont signalé des attaques récentes de rançongiciels. Bien que la demande médiane de rançon soit inférieure à celle des autres secteurs, elle s'élève néanmoins à la somme considérable de 1,1 million de dollars.

  10. Distribution et transport : Soixante pour cent des entreprises de ce secteur ont subi des attaques de ransomware, les vulnérabilités exploitées et le phishing étant des points d'entrée courants.


Cette analyse détaillée met en évidence la diversité des industries assiégées par les attaques de ransomware, renforçant la nécessité de stratégies de cybersécurité robustes et adaptées dans tous les secteurs.


Coûts et tendances de paiement des attaques de rançongiciels


Les répercussions financières vont bien au-delà du paiement de la rançon elle-même : elles englobent les frais de recouvrement, l’atteinte à la réputation et l’interruption des activités. L’analyse des tendances en matière de coûts et de paiements révèle un fardeau économique considérable :

  • Les données de Chainalysis indiquent qu'environ 813,55 millions de dollars ont été payés en rançons pour rançongiciels en 2024, soulignant les incitations financières substantielles à l'origine de ces attaques.

  • Selon Sophos, le montant moyen des rançons a bondi de 500 % entre 2023 et 2024, atteignant le montant stupéfiant de 2 millions de dollars. Cette augmentation spectaculaire souligne l'escalade des exigences des opérateurs de rançongiciels.

  • Les données de la Coalition montrent une augmentation de 68 % de la réclamation d'assurance moyenne contre les ransomwares en 2024, atteignant 353 000 $, reflétant les coûts globaux croissants associés à ces incidents.


Attaques récentes et notoires de ransomware


L’examen des récentes attaques de ransomware très médiatisées fournit un contexte essentiel aux tendances et aux statistiques que nous avons abordées :

  • CDK Global (juin 2024) : L'attaque par ransomware contre ce fournisseur de technologie automobile a perturbé les services de 15 000 concessionnaires, impactant les ventes et les réparations de voitures.

  • Change Healthcare (février 2024) : Cette attaque massive de ransomware a touché plus de 100 millions de personnes, provoquant des perturbations généralisées dans le système de santé américain.

  • LoanDepot (janvier 2024) : Une attaque de ransomware contre ce prêteur hypothécaire a touché 16,6 millions de clients, provoquant d'importantes perturbations de service.

  • Boeing (octobre 2023) : Le géant de l'aérospatiale Boeing a été ciblé par le gang de ransomware LockBit.

  • MGM Resorts et Caesars Entertainment (septembre 2023) : Ces opérateurs d'hôtels et de casinos de Las Vegas ont subi des attaques de ransomware débilitantes, ayant gravement affecté leurs opérations.

  • TSMC (juin 2023) : Un incident de sécurité chez un partenaire a conduit à une prétendue attaque de ransomware par le gang LockBit sur ce fabricant de puces critiques, avec une demande de rançon de 70 millions de dollars.

  • Dallas, Texas (mai 2023) : La ville de Dallas a été victime d'une vaste attaque de ransomware.

  • Royal Mail (janvier 2023) : La Royal Mail britannique a été ciblée par le groupe de ransomware LockBit avec une demande de rançon de 80 millions de dollars.


Le paysage futur : prévisions sur les ransomwares


Le champ de bataille est en constante évolution. Les experts prédisent que plusieurs tendances clés façonneront son avenir :

  • Accent accru sur les attaques ciblées : passage d’attaques larges et aveugles à des campagnes plus ciblées ciblant les organisations de grande valeur.

  • Accent accru sur l’exfiltration de données sans cryptage : la menace de fuites de données deviendra à elle seule une tactique d’extorsion plus importante.

  • L’influence croissante de l’IA : l’IA générative devrait être exploitée pour créer des attaques de phishing plus sophistiquées et des ransomwares potentiellement plus évasifs.


Renforcez vos défenses contre les attaques de ransomwares


Des mesures de sécurité proactives et à plusieurs niveaux sont essentielles pour atténuer le risque d’une attaque par ransomware :

  1. Mettre en œuvre une approche de sécurité multicouche : utiliser une combinaison de contrôles de sécurité pour créer une stratégie de défense en profondeur robuste.

  2. Tirez parti de la détection avancée des menaces : explorez les solutions de détection et de réponse étendues (XDR) pour une visibilité améliorée et une réponse plus rapide aux menaces potentielles.

  3. Donnez la priorité à la formation à la sensibilisation à la sécurité : sensibilisez les employés aux risques d’ingénierie sociale et d’hameçonnage.

  4. Maintenir une gestion rigoureuse des correctifs : assurez-vous que tous les logiciels et systèmes sont mis à jour rapidement pour corriger les vulnérabilités connues.

  5. Mettez en œuvre un plan de sauvegarde et de récupération robuste : sauvegardez régulièrement les données critiques hors ligne pour faciliter la récupération sans payer de rançon.

  6. Réalisez des exercices sur table : simulez des scénarios d’attaque par ransomware pour tester et affiner votre plan de réponse aux incidents.


Naviguer dans la menace persistante des attaques de ransomware


Les attaques par rançongiciels demeurent une menace importante et évolutive en 2025. En comprenant les tendances actuelles, en tenant compte des statistiques et en tirant les leçons des incidents passés, les organisations peuvent prendre des mesures proactives pour renforcer leurs défenses. Une stratégie globale intégrant des technologies de sécurité avancées, des employés bien informés et un plan de réponse aux incidents robuste est essentielle pour affronter ce contexte de cybersécurité complexe. La vigilance et une adaptation continue sont essentielles pour atténuer les risques persistants posés par les attaques par rançongiciels.


 

 
 
bottom of page