Source et contexte — L’Australian Institute of Criminology (AIC), dans sa série « Trends & issues in crime and criminal justice » n°719 (septembre 2025), publie une étude quantitative sur les groupes de rançongiciels visant des organisations en Australie, Canada, Nouvelle‑Zélande et Royaume‑Uni entre 2020 et 2022, à partir des données issues des sites d’extorsion suivis par Recorded Future et d’autres sources ouvertes (865 attaques au total). Les secteurs victimes ont été catégorisés via gpt‑3.5‑turbo (validation 89%).

Évolution de la menace (2020–2022) 📈 — En 2020, NetWalker (passé en RaaS) domine. En 2021, hausse marquée des attaques avec Conti en tête (88), devant LockBit (52). En 2022, léger recul global mais montée de LockBit 3.0 (36), émergence de Karakurt (28) et ALPHV/BlackCat (26), tandis que Conti décline après sa fermeture mi‑2022. Plusieurs groupes disparaissent après des actions des forces de l’ordre (ex. REvil, DarkSide) ou cessent l’activité (Pysa, Avaddon).

Écosystème et modèles opératoires — Le modèle Ransomware‑as‑a‑Service (RaaS) distingue une équipe « cœur » (développement, distribution du malware, recrutement, gestion des paiements et des sites de fuite) et des affiliés (intrusion, déploiement, négociation). Les tactiques évoluent vers la double puis triple extorsion (vol de données, menaces de publication, pression sur les parties prenantes). Les relations sont marchandes et éphémères, les affiliés changeant de programme selon les incitations. Des rebrandings de groupes sont mentionnés.

Profils de victimes 🏭 — Le secteur industriel est le plus ciblé dans les quatre pays (239 attaques), suivi par biens de consommation (150), immobilier (93), services financiers (93) et technologie (92). Par pays: Australie (135 attaques), Canada (346), Nouvelle‑Zélande (18), Royaume‑Uni (366). Des particularités nationales apparaissent (ex. éducation notablement visée au Royaume‑Uni). Les groupes Conti (141) et l’agrégat LockBit (3 versions, 129) sont de loin les plus actifs.

Méthodes, limites et implications — Données principalement issues des sites de fuite/extorsion, ce qui peut omettre des incidents non publiés; quatre pays uniquement; possible bruit de classification sectorielle. L’étude suggère des stratégies de prévention ciblées par secteur et souligne l’intérêt de partenariats de données et d’analyses d’impact des actions de disruption.

TTPs observées (selon le texte) 🛠️

  • Accès initial via botnets, freeware et phishing exploitant des biais cognitifs
  • Double/triple extorsion avec vol et menace de divulgation de données et pression sur parties prenantes
  • Modèle RaaS (équipe cœur vs affiliés), sites de fuite, négociations avec les victimes
  • Rebranding de groupes et mobilité des affiliés entre programmes

Conclusion — Publication de recherche synthétisant l’activité et la longévité des groupes de rançongiciels et le profil sectoriel des victimes, afin d’informer analyses et actions de perturbation.

🔗 Source originale : https://www.aic.gov.au/publications/tandi/tandi719