Selon un rapport de Cybereason, le paysage des ransomwares connaît une période de réorganisation tumultueuse. Des groupes autrefois dominants comme RansomHub, LockBit, Everest et BlackLock ont récemment subi des fermetures soudaines, des échecs opérationnels et des attaques sur leurs infrastructures du dark web, révélant une instabilité profonde dans l’écosystème cybercriminel.
En mars 2025, RansomHub, considéré comme le groupe de ransomwares le plus actif de 2024, a disparu sans explication. Ce groupe s’était imposé rapidement grâce à un modèle de Ransomware-as-a-Service (RaaS) bien huilé. Cependant, sa disparition subite a laissé ses victimes en pleine négociation, semant la confusion. En parallèle, d’autres sites de fuites de ransomwares ont subi des perturbations inattendues, notamment LockBit et Everest, ciblés par des acteurs anonymes se faisant appeler “XOXO from Prague”.
Le groupe BlackLock, quant à lui, a été compromis par des chercheurs de Resecurity qui ont exploité une vulnérabilité de type Local File Include (LFI) dans son site de fuite. Peu après, DragonForce a revendiqué la responsabilité de la brèche, mais des indices suggèrent une coordination possible entre les deux entités. Dans ce contexte, Qilin émerge comme un nouveau prétendant, opérant une infrastructure techniquement mature et se positionnant comme une plateforme de cybercriminalité à part entière.
Cet article de Cybereason est une analyse de menace détaillée, mettant en lumière la montée de Qilin et les bouleversements au sein des groupes de ransomwares existants.
🧠 TTP et IOC détecté
TTP
Ransomware-as-a-Service (RaaS), compromission via Local File Include (LFI), attaques sur infrastructures du dark web
🔗 Source originale : https://www.cybereason.com/blog/threat-alert-qilin-seizes-control