Contexte: S2W TALON (blog Medium du S2W Threat Intelligence Center) publie un rapport statistique et analytique sur l’écosystème ransomware au premier semestre 2025 (1er janv. – 30 juin 2025).

• Volume et tendances clés 📊

  • 3 624 victimes listées sur des sites de fuite, soit +58,4 % vs S1 2024, avec un pic en mars (émergence de 13 nouveaux groupes et exploitation de la vulnérabilité Cleo CVE-2024-55956 par TA505/CL0P).
  • 91 groupes actifs, dont 51 nouveaux (RaaS en expansion, comportements plus imprévisibles). Le top 10 concentre 60,3 % des attaques.
  • Baisse du taux de paiement (données Coveware), poussant les groupes à viser PME et cibles plus larges. États‑Unis les plus touchés (56,6 % des cas), corrélation avec le PIB et l’industrialisation numérique.
  • Secteurs les plus touchés: Business Services (16,2 %, en forte hausse), apparition de la finance dans le top 10; gouvernements: 92 attaques (2,5 %), en nette hausse.

• Groupes, rebrandings et écosystème 🔗

  • Rebrandings/connexions: RALord → Nova (RaaS), Hunters International → World Leaks (fuite de données sans chiffrement), coopération DragonForce ↔ Ransomhub, collaborations Qilin ↔ Devman/Arkana; opération internationale « Phobos Aetor » ayant affecté 8Base/Phobos.
  • Activité communautaire: +65,6 % d’annonces/recrutements d’affiliés sur RAMP; mentions liées au ransomware 38,4× plus élevées sur Telegram que sur le DDW; pics d’activité en février–mars.

• Techniques, outils et vulnérabilités 🧰

  • 0‑day CLFS CVE-2025-29824 exploité par PLAY et Storm‑2460; Cleo CVE-2024-55956 massivement exploité par TA505. Autres CVE mentionnées dans l’activité d’EncryptHub: CVE-2025-26633, CVE-2025-24983.
  • Outils/utilitaires fréquemment observés: AnyDesk, PsExec, Mimikatz, Cobalt Strike; campagnes via malvertising (Nitrogen), KeeLoader (watermark 678358251), backdoor LAGTOY (IAB ToyMaker → Cactus).
  • TTPs notables: double extorsion, ingénierie sociale (email bombing, Microsoft Teams + Quick Assist/AnyDesk/ScreenConnect), IABs/Pentesters (ex. Storm‑1811, AdverCRow), DLL sideloading (Rorschach/BabLock), ciblage Windows/Linux/ESXi/BSD/ARM.

• Cibles et cas remarquables 🌍

  • Par taille: PME/ETI = 96,2 % des victimes connues; grands groupes = 3,8 % (hausse en volume mais baisse relative; durcissement des défenses des grandes entreprises).
  • Pays/secteurs: États‑Unis en tête; baisses notables au EAU (stratégie nationale cybersécurité 2025–31). Business Services en forte progression; Law & Legal et Hospitality en recul.
  • Focus Corée du Sud: 11 attaques S1 2025; cas d’un libraire en ligne touché par Rorschach/BabLock; SGI Seoul Guarantee perturbé par Gunra (dérivé Conti v2, défaut crypto Linux exploitable).

• Groupes à risque élevé selon S2W 🚨

  • Top 5: TA505, PLAY, Apos Security, Qilin, El Dorado. Baisse de risque pour RansomHub, LockBit, KillSec (action des forces de l’ordre, compromission d’infrastructure). Safepay très actif (6e).

IOCs (extraits) 🧩

  • Qilin (exposition infra): ftp://dataShare:nX4aJxu3rYUMiLjCMtuJYTKS@176.113.115.97 ; ftp://dataShare:2bTWYKNn7aK7Rqp9mnv3@176.113.115.209
  • Cobalt Strike watermark: 678358251
  • CVE exploitées/mentionnées: CVE-2025-29824 (CLFS, 0‑day), CVE-2024-55956 (Cleo), CVE-2025-26633, CVE-2025-24983

TTPs principaux 🛠️

  • Exploitation de 0‑days (CLFS), campagnes de phishing/malvertising, IABs pour accès initiaux, latéralisation, exfiltration puis chiffrement (double extorsion).
  • Ingénierie sociale via Teams et Quick Assist/AnyDesk/ScreenConnect, email bombing, usage d’outils post‑exploitation (Mimikatz, Cobalt Strike), ciblage multi‑OS (Windows, Linux, ESXi, NAS, BSD, ARM).

Conclusion: Rapport statistique et d’analyse de menace présentant l’état du paysage ransomware au S1 2025, ses dynamiques (RaaS, affiliés, Telegram), ses TTPs et les groupes les plus à risque.

🧠 TTPs et IOCs détectés

TTP

Exploitation de 0-days (CLFS), campagnes de phishing/malvertising, IABs pour accès initiaux, latéralisation, exfiltration puis chiffrement (double extorsion), ingénierie sociale via Teams et Quick Assist/AnyDesk/ScreenConnect, email bombing, usage d’outils post-exploitation (Mimikatz, Cobalt Strike), ciblage multi-OS (Windows, Linux, ESXi, NAS, BSD, ARM).

IOC

ftp://dataShare:nX4aJxu3rYUMiLjCMtuJYTKS@176.113.115.97, ftp://dataShare:2bTWYKNn7aK7Rqp9mnv3@176.113.115.209, Cobalt Strike watermark: 678358251, CVE-2025-29824 (CLFS, 0-day), CVE-2024-55956 (Cleo), CVE-2025-26633, CVE-2025-24983

🔗 Source originale : https://medium.com/s2wblog/ransomware-landscape-in-h1-2025-statistics-and-key-issues-9e8c1a6b4e2c