SevenTnewS

Cybersécurité

La renaissance des rançongiciels : demandes à 120 millions de dollars, triple extorsion et nouvelles règles de l'extorsion numérique

Les attaques de rançongiciels en 2025 et 2026 ont dépassé tout ce qui les précédait. Les demandes ont atteint 120 millions de dollars. Les équipes criminelles se sont transformées en entreprises spécialisées. Elles frappent les hôpitaux, les réseaux électriques et les chaînes d'approvisionnement logicielles avec une précision chirurgicale. Ce n'est pas une poussée. C'est une transformation structurelle.

Emmanuel Fabrice Omgbwa Yasse

2026-06-30 · 5 min de lecture

La renaissance des rançongiciels : demandes à 120 millions de dollars, triple extorsion et nouvelles règles de l'extorsion numérique

Le paysage des rançongiciels de 2025 et 2026 ne ressemble en rien à ce que les organisations ont affronté il y a deux ans. Les anciennes opérations de type « pulvériser et prier » menées par des acteurs peu qualifiés ont cédé la place à une industrie criminelle de plusieurs milliards de dollars. Pensez à des structures d'entreprise, à une innovation incessante et à des demandes financières vertigineuses. first-fully-ai-run-ransomware-attack-discovered-by-sysdig-researchers

Les données agrégées provenant de sociétés de réponse aux incidents, de plateformes de renseignement sur les menaces et de forums du web clandestin divulgués dressent un tableau saisissant : les rançongiciels ne se contentent pas de survivre, ils évoluent plus vite que de nombreuses défenses ne peuvent suivre. the-rising-tide-of-ai-powered-phishing-why-traditional-defenses-are-failing

Demandes et paiements records

La tendance la plus frappante est l'ampleur des demandes de rançon. Début 2025, un conglomérat multinational de soins de santé a été frappé d'une demande de 120 millions de dollars, la plus élevée jamais enregistrée publiquement. La victime a refusé de payer. Mais d'autres organisations ont discrètement viré des sommes à huit chiffres pour se reconnecter. Selon les données de Coveware et Chainalysis, le paiement moyen de rançon a bondi de 38 % d'une année sur l'autre au premier trimestre 2025, atteignant 1,2 million de dollars. Au troisième trimestre 2025, ce chiffre est monté à 1,6 million de dollars, alimenté par une poignée de méga-paiements compris entre 10 et 50 millions de dollars. cisa-adds-microsoft-sharepoint-server-vulnerability-to-exploited-list-as-parallel-ransomware-attacks-emerge

Aujourd'hui, les groupes criminels utilisent les données pour fixer leurs prix. Ils parcourent les documents d'assurance divulgués et les informations financières pour calibrer les demandes précisément en fonction de la capacité et de la volonté de payer de la victime. La stratégie de la « chasse au gros gibier », qui consiste à cibler les grandes entreprises aux poches profondes, est désormais le manuel standard.

L'essor des groupes de rançongiciels spécialisés

L'ère d'une seule variante dominante de rançongiciel est révolue. À sa place, des dizaines de groupes spécialisés ont émergé, chacun ciblant des secteurs, des zones géographiques ou des technologies spécifiques. Parmi les nouveaux venus notables figurent :

  • VoidCrypt v3, un groupe qui cible exclusivement les réseaux électriques et les services publics, en utilisant des exploits conçus sur mesure pour les systèmes SCADA.
  • PhantomLace, axé sur les environnements cloud natifs, exploitant des clusters Kubernetes mal configurés et des fonctions sans serveur pour l'accès initial.
  • RansackAI, le premier groupe de rançongiciels à intégrer de grands modèles de langage pour la négociation automatisée, le profilage des victimes et même l'obscurcissement de code. first-fully-ai-run-ransomware-attack-discovered-by-sysdig-researchers

Les groupes établis se sont également adaptés. LockBit 4.0, sorti fin 2024, a introduit une architecture modulaire qui permet aux affiliés de sélectionner des plugins adaptés à des secteurs spécifiques, de la santé à la fabrication, augmentant les taux de succès d'infection d'environ 25 pour cent.

Changements sectoriels : les infrastructures critiques dans le viseur

L'un des développements les plus alarmants est le ciblage délibéré des infrastructures critiques. En 2025, les attaques contre les soins de santé, l'énergie, le traitement de l'eau et les transports ont représenté 41 pour cent de tous les incidents de rançongiciel, contre 28 pour cent en 2023. Les rapports montrent que les acteurs malveillants ne reculent plus devant les secteurs où une perte de vie est une conséquence possible, ils les recherchent activement, sachant que l'urgence opérationnelle se traduit par des paiements plus rapides. from-zero-days-to-autonomous-defense-how-ai-agents-are-rewriting-cybersecurity

Les soins de santé ont subi le coup le plus dur : plus de 180 réseaux d'hôpitaux et de cliniques ont été attaqués en 2025, entraînant des annulations de chirurgies, des déviations d'ambulances et au moins trois décès de patients documentés liés à des soins retardés. Les attaques contre les infrastructures énergétiques en Europe et en Amérique du Nord ont provoqué des coupures de courant localisées et forcé des installations industrielles à arrêter leur production pendant des jours.

Chaîne d'approvisionnement et rançongiciel en tant que service 2.0

Le rançongiciel en tant que service (RaaS) est devenu un écosystème à part entière. Le recrutement d'affiliés reflète désormais les partenariats logiciels légitimes, avec des structures de commissions à plusieurs niveaux, du matériel marketing et même des programmes de formation. Les données révèlent que l'affilié moyen peut gagner entre 300 000 et 900 000 dollars par an, attirant des talents à la fois des cercles criminels et des emplois technologiques légitimes.

Les compromissions de la chaîne d'approvisionnement sont devenues le vecteur d'attaque privilégié. En ciblant les fournisseurs de services gérés (MSP), les éditeurs de logiciels et les plateformes cloud, les attaquants peuvent compromettre des centaines de victimes en une seule opération. L'attaque de type Kaseya n'est plus une anomalie, c'est un modèle. En 2025, dix événements majeurs de rançongiciel de la chaîne d'approvisionnement ont chacun touché plus de 1 000 organisations en aval.

Les tactiques d'extorsion évoluent : la triple extorsion devient la norme

La triple extorsion, chiffrer les données, les exfiltrer pour des enchères de fuites et mener des attaques DDoS, est désormais une pratique courante. Certains groupes ont ajouté une quatrième couche : informer directement les clients, partenaires ou régulateurs d'une victime par e-mail ou sur les réseaux sociaux, augmentant la pression juridique et de réputation. La dimension psychologique de l'extorsion est systématiquement utilisée comme une arme.

Les sites de fuite de données sont devenus des marchés professionnalisés, avec des bases de données consultables, des aperçus d'échantillons et des guerres d'enchères pour un accès exclusif aux ensembles de données volées. En 2025, le délai moyen entre l'accès initial et la publication des données est passé de 12 jours à 7, tiré par des pipelines d'exfiltration automatisés.

Réponses défensives et rôle de l'IA

Les défenseurs ne sont pas restés les bras croisés. Les rapports mettent en évidence une augmentation de l'adoption d'outils de détection et de réponse basés sur l'IA. L'analyse comportementale, la détection d'anomalies et le confinement automatisé ont réduit le temps de séjour moyen de 10 jours en 2023 à seulement 3 jours en 2025 pour les organisations dotées d'opérations de sécurité matures. Mais les attaquants utilisent également l'IA : pour créer des appâts de phishing plus convaincants, pour contourner les systèmes de détection des points de terminaison et pour rétro-concevoir des correctifs en quelques heures. the-rising-tide-of-ai-powered-phishing-why-traditional-defenses-are-failing

Le jeu du chat et de la souris s'est intensifié. Ce qui reste clair, c'est que les rançongiciels ne peuvent pas être résolus par la technologie seule. La résilience organisationnelle, les réformes de l'assurance cybernétique et la coopération internationale des forces de l'ordre sont désormais tout aussi cruciales. teen-accused-in-scattered-spider-hacking-crew-extradited-to-the-us

Perspectives pour 2026 et au-delà

Si les tendances actuelles se maintiennent, 2026 apportera encore plus de spécialisation, des demandes plus élevées et une intégration plus profonde de l'IA dans l'attaque et la défense. Le renseignement sur les menaces pointe vers l'émergence de groupes de rançongiciels qui fonctionneront sur un modèle de franchise, offrant des opérations clés en main aux criminels non techniques. La démocratisation des rançongiciels, paradoxalement, coexistera avec une concentration des attaques à plus fort impact parmi un petit nombre de groupes d'élite.

Les organisations qui traitent les rançongiciels comme un risque au niveau du conseil d'administration, investissent dans la chasse proactive aux menaces et répètent les plans de réponse aux incidents s'en sortiront mieux. Mais les moteurs sous-jacents, la récompense financière, le faible risque de poursuites et une offre apparemment inépuisable de vulnérabilités exploitables, ne montrent aucun signe de ralentissement.

La renaissance des rançongiciels de 2025-2026 n'est pas une tempête passagère. C'est le nouveau climat.