MtoM Mag - Le journal de l'MtoM.

Dans son dernier rapport sur l’État des Ransomwares 2026, Kaspersky dresse un bilan des tendances en matière de ransomwares qui ont marqué 2025 et offre un aperçu du paysage des menaces pour 2026. Selon les données du Kaspersky Security Network, en 2025, l’Amérique latine enregistre la plus forte proportion d’organisations touchées par ces attaques (8,13 %), suivie par la région Asie-Pacifique (7,89 %), l’Afrique (7,62 %), le Moyen-Orient (7,27 %), la Communauté des États indépendants (CEI, 5,91 %) et finalement l’Europe (3,82 %). Le rapport met en évidence la recrudescence des attaques d’extorsion « sans chiffrement », l’utilisation de la cryptographie post-quantique par les groupes de ransomwares, et l’usage persistant des canaux Telegram par les cybercriminels pour distribuer des ensembles de données et des identifiants compromis.

Malgré une légère baisse de la part globale d’organisations visées par des ransomwares en 2025 par rapport à 2024, les utilisateurs restent confrontés à un risque important. En effet, les attaquants industrialisent leurs opérations, automatisent les méthodes d’intrusion et se concentrent de plus en plus sur le vol et la fuite de données sensibles plutôt que sur le simple chiffrement des systèmes.

Les cybercriminels continuent d’exploiter les canaux Telegram et les forums du dark web pour distribuer et revendre des jeux de données et des accès compromis, notamment ceux issus d’attaques par ransomware. En janvier 2026, les autorités ont saisi RAMP, un forum clandestin majeur qui servait également de vitrine aux acteurs de la menace pour promouvoir leurs services de ransomware et annoncer leurs mises à jour. Dans la même lignée, le forum LeakBase, utilisé pour la diffusion de données exfiltrées, a été démantelé en mars 2026. Cependant, bien que les forces de l’ordre ferment activement des plateformes du dark web et des sites de divulgation de données, il faut s’attendre à voir émerger de nouveaux portails similaires à l’avenir.

L’une des tendances fortes de 2025 est la montée en puissance continue des “EDR killers” (outils de neutralisation de l’Endpoint Detection and Response), des outils spécifiquement conçus pour désactiver les solutions de sécurité avant d’exécuter le logiciel malveillant lui-même. Les EDR killers sont devenus une composante standard des attaques, ce qui se traduit par des intrusions plus préméditées et méthodiques.

Les chercheurs ont également noté l’émergence de familles de ransomwares adoptant des normes de cryptographie post-quantique, une évolution que Kaspersky avait prédite précédemment. Ce développement signale une transition préoccupante vers des méthodes de chiffrement capables de résister aux futures tentatives de décryptage par l’informatique quantique.

Le rôle des Initial Access Brokers (IAB), des intermédiaires cybercriminels qui vendent des accès d’entreprise pré-compromis via des forums clandestins et des plateformes de messagerie, ne cesse de croître. Les portails RDWeb (des sites web par lesquels les appareils peuvent être contrôlés à distance) sont de plus en plus ciblés, alors que les groupes de ransomwares continuent d’industrialiser leurs opérations par le biais du modèle “Access-as-a-Service”. Par conséquent, la barrière à l’entrée pour lancer des cyberattaques s’abaisse. Groupes actifs

D’après les sites de fuite de données, parmi les groupes de ransomwares les plus actifs en 2025, Kaspersky a identifié Qilin comme le principal opérateur de Ransomware-as-a-Service (RaaS) suite à la saisie des opérations de RansomHub. Clop s’est classé au deuxième rang des groupes les plus actifs, suivi d’Akira à la troisième place.

Part des victimes de chaque groupe de ransomwares selon leur site de fuite de données (DLS), exprimée en pourcentage du nombre total de victimes signalées tous groupes confondus en 2025.

Bien que plusieurs grands groupes de ransomwares aient cessé leurs opérations en 2025, l’écosystème voit l’émergence de nouveaux acteurs. Pour 2026, le groupe The Gentlemen se démarque comme l’un des plus importants nouveaux acteurs de ransomware. Cette importance est due à sa croissance rapide, ses opérations structurées et son accent croissant sur l’extorsion de données. Il est possible que ce groupe intègre des attaquants ayant été associés à d’autres opérations majeures de ransomware par le passé. The Gentlemen illustre une tendance plus large dans le secteur des ransomwares : on observe un passage des campagnes chaotiques et très médiatisées à des modèles d’extorsion plus industrialisés et évolutifs. Ces nouvelles structures se concentrent désormais principalement sur le vol de données sensibles. Elles exploitent la pression réglementaire et réputationnelle subie par les victimes, au lieu de s’appuyer uniquement sur le chiffrement bloquant des fichiers pour obtenir une rançon.

« Le ransomware a évolué vers un écosystème très organisé qui se concentre sur la monétisation des données volées, la désactivation des défenses et le déploiement d’attaques à grande échelle avec une efficacité quasi commerciale. Les acteurs s’adaptent rapidement, détournent des outils légitimes, exploitent les infrastructures d’accès à distance et adoptent même la cryptographie post-quantique, des années plus tôt que prévu. Nous exhortons tous les utilisateurs à rester en sécurité, à mettre en place des défenses multicouches, à investir dans les sauvegardes et à améliorer leur niveau de culture cyber pour contrer ces attaques », commente Fabio Assolini, chercheur en sécurité au sein du GReAT de Kaspersky.

Le rapport complet est disponible sur Securelist.

Kaspersky encourage les organisations à suivre les meilleures pratiques pour se prémunir des ransomwares :

 Activer la protection contre les ransomwares pour tous les terminaux.
 Maintenir à jour les logiciels sur tous les appareils utilisés afin d’empêcher les attaquants d’exploiter les vulnérabilités et d’infiltrer le réseau.
 Concentrer la stratégie de défense sur la détection des mouvements latéraux et de l’exfiltration de données vers Internet.
 Porter une attention particulière au trafic sortant pour identifier toute connexion potentielle de cybercriminels au réseau.
 Configurer des sauvegardes hors ligne, inaccessibles aux intrus, et s’assurer de pouvoir y accéder rapidement en cas de besoin ou d’urgence.
 Les entreprises du secteur non industriel peuvent se protéger en installant des solutions anti-APT et EDR qui permettent de découvrir et de détecter les menaces avancées, de mener des enquêtes et de remédier rapidement aux incidents. Les organisations peuvent également fournir à leurs équipes SOC un accès aux dernières informations sur les menaces et perfectionner régulièrement leurs compétences grâce à des formations professionnelles.