Qui sont les gangs de ransomware les plus redoutables?
En 2025, les cybercriminels ont fait des identités leur principale cible. Le rapport annuel d'Opentext sur les logiciels malveillants révèle les six acteurs qui ont particulièrement marqué cette année.
L’année 2025 se distingue par une hausse des attaques visant les identités. Le Nastiest Malware Report d’Opentext analyse les tendances de la cybercriminalité et identifie les principaux groupes à l’origine de ces attaques.
Selon le rapport, les cybercriminels s’en prennent désormais davantage à des comptes individuels qu’à des réseaux entiers. Ils exploitent l’intelligence artificielle pour manipuler des identités, imiter des voix ou créer de fausses candidatures, dans le but d’accéder à des comptes. La communication quotidienne devient ainsi une cible privilégiée des attaques reposant sur l’ingénierie sociale, les deepfakes ou encore les outils de messagerie alimentés par l’IA.
Le ransomware reste un composant essentiel du cybercrime, mais sa forme évolue. Plutôt que de chiffrer les systèmes, les attaquants préfèrent désormais dérober des données et menacer les entreprises de les publier. Le nombre d’attaques demeure élevé, tandis que leurs méthodes gagnent en sophistication.
Les six groupes les plus marquants de 2025 selon Opentext:
1. Qilin
Responsable de plus de 200 attaques contre des hôpitaux, des laboratoires et des institutions publiques, le groupe Qilin aurait, selon Opentext, provoqué la mort d’un patient à la suite de la défaillance de services de diagnostic. Cette tragédie illustre la vulnérabilité du secteur de la santé face aux cybermenaces. Une fonctionnalité a fait parler d’elle: un panneau de contrôle, qui permettait aux partenaires de dialoguer directement avec un conseiller en négociation mis à disposition par Qilin. Selon Opentext, l’objectif était de standardiser le chantage et d’offrir un accompagnement professionnel même aux attaquants les moins expérimentés.
2. Akira
Le gang de ransomware Akira s’est concentré sur les entreprises fortunées et les prestataires de services informatiques (MSP). Il serait responsable de près d’une attaque sur cinq dans le monde. La bande chercherait à se donner une image de fiabilité avec des «rabais» et des règles internes bien définies. Akira s’est d’ailleurs récemment attaquée à plusieurs entreprises suisses.
3. Scattered Spider
En combinant ingénierie sociale, usurpation de cartes SIM et imitation vocale par deepfake, Scattered Spider a réussi à compromettre de grandes entreprises en contournant les systèmes d’accès les plus modernes. Le groupe allie maîtrise technique, manipulation psychologique et détournement d’identités.
4. Play
Le groupe de ransomware Play aurait attaqué plus de 900 MSP et compromis des environnements clients entiers. Il se distingue par un chiffrement intermittent, où seules certaines parties des fichiers sont chiffrées, rendant les attaques plus rapides et plus difficiles à détecter, écrit Opentext. Le groupe utilise en outre ses propres logiciels malveillants et étend désormais son arsenal à des outils destinés aux environnements virtuels tels que Linux et ESXi.
5. Shinyhunters
Shinyhunters s’introduit dans des plateformes cloud et reste souvent indétectable pendant plusieurs mois. Selon le rapport, le groupe ne publie les données volées que lorsqu’elles peuvent générer des profits. En 2025, Google et Salesforce ont notamment été touchés par une fuite de données issues du CRM Salesforce et d’autres ensembles de données volés, dont une partie s’est retrouvée en ligne. Déjà connu pour l’attaque contre Ticketmaster l’année année, Shinyhunters aurait également exploité les exigences réglementaires en Europe, publiant parfois les données en même temps que les notifications RGPD afin d’accentuer la pression sur les entreprises.
6. Lumma Stealer
Ce logiciel malveillant vole des identifiants, cookies et jetons d’accès, ensuite revendus sur le dark web et utilisés par d’autres groupes comme Qilin, Akira ou Play. Par le biais de fausses alertes Captcha ou d’erreurs système, Lumma Stealer pousse les utilisateurs à exécuter du code malveillant tout en contournant les protections habituelles. Malgré une opération mondiale de démantèlement menée au printemps 2025, le malware reste actif.
La prévention reste la clé
Malgré des mesures de sécurité renforcées et une baisse des paiements de rançons, le ransomware demeure lucratif. Les demandes et paiements restent élevés et les dommages totaux continuent d’augmenter, selon Opentext. Les groupes organisés négocient désormais de manière ciblée et obtiennent des montants considérables.
Pour les organisations, la prévention reste l’alpha et l’oméga: mises à jour régulières, sauvegardes fiables, contrôles d’accès rigoureux et sensibilisation au phishing et à l’ingénierie sociale. Opentext souligne que les entreprises appliquant ces principes de manière constante renforcent considérablement leur résilience face aux cyberattaques.
