State of Ransomware 2025 : Kaspersky présente son rapport annuel à l’occasion de la Journée internationale contre les ransomwares

mai 2025 par Kaspersky

La Journée contre les ransomwares a été instaurée le 12 mai en 2020 par INTERPOL en collaboration avec Kaspersky pour commémorer l’anniversaire de l’attaque massive par le ransomware WannaCry, qui s’est produite le 12 mai 2017. L’objectif de cet « Anti-Ransomware Day » est de sensibiliser le monde entier aux menaces que représentent les ransomwares et de promouvoir les meilleures pratiques en matière de prévention et de réponse.

Au Moyen-Orient et dans la région Asie-Pacifique, les ransomwares ont touché une part plus importante d’utilisateurs en raison de la rapidité de la transformation numérique, de l’élargissement des surfaces d’attaque et des différents niveaux de maturité des infrastructures en matière de cybersécurité. En Asie-Pacifique, les entreprises ont été fortement ciblées par des attaques visant les infrastructures et les technologies opérationnelles, en particulier dans les pays en pleine croissance économique, ayant adopté de nouvelles lois sur la confidentialité des données.

Les ransomwares sont moins répandus en Afrique en raison du faible niveau de numérisation et des contraintes économiques, qui réduisent le nombre de cibles intéressantes pour les cybercriminels. Toutefois, à mesure que des pays comme l’Afrique du Sud et le Nigeria développent leurs économies numériques, les attaques de ransomware s’y multiplient, en particulier dans les secteurs manufacturier, financier et gouvernemental. La sensibilisation et les ressources limitées en matière de cybersécurité rendent de nombreuses organisations vulnérables, bien que la surface d’attaque, plus réduite, préserve en partie la région.

L’Amérique latine est également exposée aux attaques de ransomware, en particulier l’Argentine, le Brésil, le Chili et le Mexique. Les secteurs manufacturier, gouvernemental et agricole, ainsi que les secteurs critiques tels que celui de l’énergie et de la grande distribution sont visés, mais les contraintes économiques et les rançons, plus modestes, participent à dissuader certains attaquants. L’adoption croissante du numérique dans la région accroît néanmoins l’exposition aux attaques.

L’Asie centrale est moins concernée par les ransomwares. Toutefois, des groupes d’hacktivistes tels que Head Mare, Twelve et d’autres, actifs dans la région, utilisent souvent des rançongiciels tels que LockBit 3.0 pour nuire aux organisations ciblées. Les secteurs de la manufacture, de l’agriculture et de l’éducation sont particulièrement à risque, les différents niveaux de maturité en matière de cybersécurité dans la région ayant une incidence sur la sécurité.

L’Europe est régulièrement la cible de ransomwares, mais elle bénéficie de cadres et de réglementations solides en matière de cybersécurité qui dissuadent certains attaquants. Des secteurs tels que l’industrie manufacturière, l’agriculture et l’éducation sont souvent pris pour cible, mais la maturité de la réponse aux incidents et la sensibilisation limitent l’ampleur des attaques. Les économies diversifiées et les systèmes de défense en place rendent la région moins exposée aux groupes de ransomwares que celles où la croissance numérique est rapide et moins sécurisée.

Tendances actuelles et émergentes en matière de ransomwares

Les outils d’IA sont de plus en plus utilisés dans le développement de ransomwares, comme le démontre l’exemple de FunkSec, un groupe de ransomwares apparu fin 2024 et qui a rapidement gagné en notoriété en surpassant des groupes bien établis comme Cl0p et RansomHub, avec de nombreuses victimes revendiquées rien que sur le mois de décembre. Fonctionnant selon le modèle RaaS (Ransomware-as-a-Service), FunkSec utilise une double tactique d’extorsion, combinant le chiffrement des données et l’exfiltration, et ciblant des secteurs tels que le gouvernement, la technologie, la finance et l’éducation en Europe et en Asie. Le groupe se distingue par sa forte dépendance à l’égard des outils assistés par l’IA, ses ransomwares comportant du code généré par l’IA, assorti de commentaires sans faille, probablement générés par de grands modèles de langage (LLM) afin d’en améliorer le développement et d’échapper aux tentatives de détection. Contrairement aux groupes de ransomware classiques qui réclament des millions, FunkSec se distingue par une stratégie à fort volume et faible coût, avec des demandes de rançon inhabituellement basses. Cette approche met en évidence son usage novateur de l’IA pour optimiser ses opérations.

Le modèle RaaS (Ransomware-as-a-Service) reste le cadre prédominant des attaques par ransomware, favorisant leur prolifération en abaissant la barrière technique pour les cybercriminels. En 2024, des plateformes RaaS comme RansomHub ont prospéré en proposant des logiciels malveillants, un support technique et des programmes d’affiliation permettant de partager les rançons entre les différentes parties prenantes. Ce modèle permet à des acteurs peu qualifiés de mener des attaques sophistiquées, contribuant à l’émergence de nombreux nouveaux groupes de ransomware rien qu’en 2024.

En 2025, le ransomware devrait évoluer en exploitant des vulnérabilités non conventionnelles, à l’instar du groupe Akira qui a utilisé une webcam pour contourner les systèmes de détection et de réponse aux menaces (EDR) et infiltrer des réseaux internes. Les attaquants devraient cibler de plus en plus les points d’entrée négligés comme les objets connectés (IoT), les appareils intelligents et le matériel mal configuré dans les environnements de travail, tirant parti de la surface d’attaque étendue créée par ces systèmes interconnectés. À mesure que les organisations renforcent leurs défenses traditionnelles, les cybercriminels vont affiner leurs tactiques, se concentrant sur la reconnaissance furtive et les déplacements latéraux dans les réseaux pour déployer leurs attaques avec une plus grande précision, rendant leur détection et la réponse des défenseurs plus difficiles.

La prolifération des grands modèles de langage (LLM) conçus pour le cybercrime va encore amplifier la portée et l’impact des ransomwares. Les LLM commercialisés sur le dark web abaissent la barrière technique pour la création de code malveillant, les campagnes de phishing et les attaques d’ingénierie sociale, permettant même à des acteurs peu qualifiés de concevoir des appâts très convaincants et d’automatiser le déploiement de ransomware. À mesure que des concepts innovants comme la RPA (automatisation robotisée des processus) et le LowCode, offrant une interface intuitive, visuelle et assistée par l’IA pour un développement logiciel rapide, sont adoptés par les développeurs, on peut s’attendre à ce que les développeurs de ransomware utilisent également ces outils pour automatiser leurs attaques ainsi que la création de nouveaux codes, rendant la menace encore plus omniprésente.

« Les ransomwares représentent une menace cyber majeure pour les organisations à l’heure actuelle, car les entreprises de toutes tailles et de toutes zones géographiques peuvent en être la cible. Le rapport met en lumière une évolution inquiétante : l’exploitation de points d’entrée négligés, comme les appareils IoT, les équipements intelligents et le matériel obsolète ou mal configuré en entreprise. Ces points faibles sont souvent non surveillés, ce qui en fait des cibles de choix pour les cybercriminels. Pour rester protégées, les organisations doivent adopter une stratégie de défense en profondeur : systèmes à jour, segmentation du réseau, surveillance en temps réel, sauvegardes robustes et formation continue des utilisateurs. Développer une culture de la cybersécurité à tous les niveaux est tout aussi crucial que d’investir dans les bonnes technologies », commente Marc Rivero, chercheur principal au sein du GReAT de Kaspersky.