Les attaques de ransomware explosent et l’extorsion s’intensifie : Rapport ThreatLabz 2025 sur les ransomwares

Le ransomware reste l’une des menaces les plus persistantes auxquelles sont confrontées les entreprises et les organisations du secteur public. Les dernières recherches de ThreatLabz confirment que les attaques augmentent non seulement en termes de volume, mais qu’elles évoluent également vers des tactiques d’extorsion plus ciblées et axées sur les données.

Le rapport Zscaler ThreatLabz 2025 sur les ransomware récemment publié examine les pics d’activité des ransomwares bloqués par le cloud Zscaler d’une année sur l’autre et l’augmentation considérable des cas d’extorsion publique. Ensemble, ces résultats soulignent une réalité critique : le paysage actuel des menaces de ransomware exige un nouveau niveau de vigilance opérationnelle supérieur et une architecture de sécurité fondamentalement différente des modèles de sécurité traditionnels.

Ce billet de blog met en lumière certains enseignements du rapport. Pour l’analyse complète (tendances des attaques, profils des hackers et conseils de sécurité), téléchargez le rapport ThreatLabz 2025 sur les ransomwares.

5 découvertes essentielles concernant les ransomwares

Les chercheurs de ThreatLabz ont analysé l’activité des ransomwares d’avril 2024 à avril 2025, en examinant les sites publics de divulgation de données, les renseignements sur les menaces propriétaires de Zscaler, les échantillons de ransomwares, les données d’attaque et la télémétrie de Zscaler Zero Trust Exchange. Voici cinq points importants à retenir du rapport de cette année :

1. Les attaques de ransomware ont enregistré une hausse fulgurante de 145,9 % sur une année : cette croissance spectaculaire montre clairement que les hackers intensifient leurs campagnes plus rapidement que jamais, Zscaler ayant bloqué un nombre sans précédent d’attaques de ransomware au cours de l’année écoulée.
2. Les cas d’extorsion publique ont augmenté 70,1 % : un nombre bien plus important d’entreprises ont été répertoriées sur des sites de divulgation de ransomwares durant cette période, à mesure que les hackers intensifient leurs tactiques de pression.
3. Les volumes d’exfiltration de données ont augmenté de 92,7 % : ThreatLabz a analysé 10 grandes familles de ransomwares, révélant un total de 238,5 To de données exfiltrées, preuve que le vol de données alimente les campagnes d’extorsion.
4. Les industries critiques continuent d’être des cibles de choix : la production industrielle, la technologie et la santé ont connu le plus grand nombre d’attaques de ransomware, tandis que des secteurs tels que le pétrole et le gaz (+935 %) et le secteur public (+235 %) ont enregistré des pics notables d’une année sur l’autre.
   
5. Les groupes de ransomware évoluent rapidement : si des familles établies comme RansomHub, Clop et Akira demeurent dominantes, ThreatLabz a identifié l’émergence de 34 nouveaux groupes, dont certains sont des groupes rebaptisés ou des ramifications de groupes disparus, tandis que d’autres cherchent à combler le vide laissé par les démantèlements et autres perturbations. Collectivement, ils reflètent un écosystème de ransomware dynamique et en évolution rapide dans lequel les acteurs malveillants s’adaptent en permanence.
   

Tendance actuelle : extorsion préférée au chiffrement, utilisation de l’IA générative et cibles stratégiques.

Le rapport ThreatLabz 2025 Ransomware Report couvre plusieurs tendances déterminantes de l’exécution des attaques par ransomware actuelles :

• De nombreux cas privilégient l’extorsion de données. Certains hackers délaissent complètement le chiffrement des fichiers, choisissant de voler des données sensibles et d’utiliser la menace d’une exposition publique via des sites de divulgation. Ces campagnes s’appuient sur la menace d’atteinte à la réputation, de violations réglementaires et de perte de propriété intellectuelle pour inciter les victimes à payer, même lorsque leurs données ne sont pas chiffrées.
• L’IA générative accélère les opérations de ransomware. ThreatLabz a mis en évidence la manière dont un groupe de cybercriminels notoire a utilisé ChatGPT pour soutenir l’exécution de ses attaques. L’IA générative permet aux hackers d’automatiser des tâches clés et d’écrire du code pour rationaliser les opérations et améliorer l’efficacité de leurs attaques.
• Le ciblage est plus personnalisé. Les acteurs malveillants se sont en grande partie détournés des campagnes de spam massives et opportunistes pour privilégier des attaques plus ciblées, dans lesquelles ils se font passer pour du personnel informatique afin de piéger les employés disposant d’un accès privilégié.

Consultez le rapport complet pour un aperçu plus approfondi de ces tendances.

Les groupes de ransomware à l’origine de cette recrudescence

Le rapport apporte également un aperçu détaillé des groupes de menaces à l’origine de la récente escalade des attaques. Parmi les groupes les plus prolifiques de l’année écoulée figurent RansomHub, Clop et Akira, à l’origine d’une part importante des cas publiés sur des sites de divulgation.

Les chercheurs de ThreatLabz ont également identifié les cinq principaux groupes de ransomwares à surveiller au cours de l’année à venir, des familles qui illustrent l’évolution du ransomware vers des modèles plus modulables et davantage axés sur l’extorsion.

Les tactiques varient considérablement selon les groupes. ThreatLabz a observé des stratégies telles que :

• Vol furtif de données qui évite de perturber la continuité des activités
• Campagnes de ransomware en tant que service menées par des affiliés, qui s’appuient sur des infrastructures, des outils et des services partagés.
• Demandes de rançon qui exploitent les violations réglementaires pour intensifier la pression sur les victimes

Les vulnérabilités demeurent le vecteur d’intrusion le plus simple

Le rôle des vulnérabilités en tant que voies d’accès directes à la compromission initiale est un thème constant et déterminant des attaques de ransomware. Les opérateurs de ransomware continuent de se servir de technologies d’entreprise largement utilisées, notamment les VPN, les applications de transfert de fichiers, les outils d’accès à distance, les logiciels de virtualisation et les plateformes de sauvegarde, pour parvenir à leurs fins.

Le rapport détaille plusieurs exemples de vulnérabilités majeures exploitées dans des campagnes de ransomware au cours de l’année écoulée. Dans la plupart des cas, les hackers ont obtenu un accès initial grâce à une simple analyse et à une exploitation automatisée des systèmes connectés à Internet. Cela renforce une dure vérité : les défenses traditionnelles comme les pare-feu et les VPN ouvrent trop de brèches, créant des conditions idéales pour les déplacements latéraux, le vol de données et le déploiement de ransomwares.

Zero Trust : la norme pour neutraliser les ransomwares 

Alors que les groupes de ransomware continuent de faire évoluer leurs modes opératoires, en ciblant les données sensibles et en exploitant la pression réputationnelle et réglementaire pour renforcer leur pouvoir d’extorsion, la défense contre ces attaques exige une approche globale et proactive. C’est exactement ce qu’offre une architecture Zero Trust, en éliminant les conditions mêmes sur lesquelles s’appuient les opérateurs de ransomwares : une infrastructure détectable, un accès trop permissif et des flux de données non inspectés.

Zscaler Zero Trust Exchange offre une protection à chaque étape de la chaîne d’attaque des ransomwares, notamment :

• Minimise l’exposition : Zero Trust Exchange rend les utilisateurs, les appareils et les applications invisibles sur Internet – pas d’adresses IP publiques, pas de réseaux exposés. Cela élimine la surface d’attaque dès la première phase de reconnaissance et réduit considérablement les risques.
• Prévient la compromission initiale  : l’inspection inline de tout le trafic, y compris le trafic TLS/SSL chiffré, à l’échelle, arrête les menaces avant qu’elles ne puissent causer des dommages. L’isolation du navigateur pilotée par l’IA et le sandboxing cloud ajoutent plusieurs couches de défense pour neutraliser les vulnérabilité zero-day et avancées, alimentées par les renseignements sur les menaces de ThreatLabz.
• Élimine les déplacements latéraux : la segmentation d’application à application et d’utilisateur à application impose un accès sur la base du moindre privilège et élimine le réseau de l’équation, supprimant ainsi les chemins sur lesquels les opérateurs de ransomware s’appuient pour se propager. La technologie de tromperie intégrée perturbe davantage les attaques avec des leurres et de faux chemins d’accès aux utilisateurs.
• Bloque l’exfiltration des données : étant donné que les groupes de ransomware actuels s’attachent autant (sinon plus) à voler les données sensibles qu’à les chiffrer, l’inspection incomparable de Zscaler, la classification des données optimisée par IA, la prévention de la perte de données (DLP) inline et l’isolation du navigateur sont essentielles pour empêcher les transferts de données non autorisés et garantir que les données sensibles ne quittent jamais l’entreprise.

En disposant d’une architecture Zero Trust, les entreprises peuvent contrôler ce à quoi les utilisateurs accèdent, la manière dont les données se déplacent et la façon dont les ressources sont protégées, fermant ainsi les voies dont dépendent les ransomwares et réduisant les risques à chaque étape d’une attaque.

Télécharger le rapport – rester informé et préparé

Le rapport ThreatLabz 2025 sur les ransomwares vous offre la vision la plus récente, étayée par des données, de l’évolution du paysage des ransomwares. Au-delà des résultats présentés dans ce billet de blog, le rapport complet détaille les pays les plus ciblés, fournit des informations de première ligne sur d’autres évolutions notables des acteurs malveillants et explique comment ThreatLabz soutient les efforts plus larges visant à inverser la tendance face aux ransomwares. Il présente également des conseils plus détaillés pour aider à renforcer les défenses et la résilience contre les menaces de ransomware actuelles.

• Téléchargez votre exemplaire du rapport complet dès aujourd’hui pour rester informé et préparé grâce aux dernières recherches sur les menaces de ransomware.
• Participez à notre webinaire ces jeudi 31 juillet (AMS) et mardi 5 août (EMEA, APAC) pour une analyse plus approfondie et des informations de première main   Rapport ThreatLabz 2025 sur les ransomwares : ce qui se cache derrière la dernière vague d’attaques.