Selon CYFIRMA, le paysage ransomware de septembre 2025 affiche une forte intensification des capacités techniques et opérationnelles, avec 504 victimes dans le monde et une concentration aux États-Unis.
Les chiffres et cibles 🎯
- 504 victimes recensées mondialement en septembre 2025, dont 294 aux États-Unis.
- Secteurs principalement touchés : services professionnels, manufacture, services aux consommateurs.
- Qilin reste dominant, tandis que Incransom et Safepay progressent nettement.
Évolutions techniques marquantes 🔧
- Akira est passé de l’exploitation de CVE-2024-40766 à un contournement MFA via vol des seeds OTP sur VPN SonicWall.
- MalTerminal intègre GPT-4 pour la génération de charges utiles à l’exécution, créant des ransomwares adaptatifs qui contournent la détection statique.
- HybridPetya arme des bootkits UEFI en exploitant le contournement Secure Boot (CVE-2024-7344), avec chiffrement du MFT au niveau firmware pour une persistance pré-boot.
- CountLoader se présente comme une plateforme modulaire multi-langages (.NET, PowerShell, JavaScript) diffusant Cobalt Strike, AdaptixC2 et PureHVNC RAT, avec abus de LOLBins et chiffrement PowerShell à la volée.
Opérations et acteurs 🕵️
- Scattered Spider revient en force, ciblant les services financiers via vishing assisté par IA, abus de la réinitialisation de mot de passe en libre-service d’Azure AD et exploitation de VMware ESXi.
- Nouvelles entités (p. ex. Black Shrantac, Coinbase Cartel, Lunalock, Radar) menant des opérations d’exfiltration de données structurées.
Tendance de fond 📈
- Transition des exploits patchables vers des contournements d’authentification persistants.
- Passage de malwares statiques à des charges utiles générées par IA et adaptatives.
- Déplacement du chiffrement disque vers l’extorsion au niveau firmware, rendant la remédiation plus difficile.
TTPs clés observés
- Bypass MFA via vol de seeds OTP sur SonicWall VPN.
- UEFI bootkit avec contournement Secure Boot (CVE-2024-7344) et chiffrement du MFT.
- Génération de payloads runtime par IA (GPT-4) pour évasion défensive.
- Abus de LOLBins, chiffrement PowerShell à la volée.
- Vishing assisté par IA, abus Azure AD SSPR, exploitation de VMware ESXi.
- Livraison modulaire (CountLoader) de Cobalt Strike, AdaptixC2, PureHVNC RAT.
Il s’agit d’une analyse de menace visant à documenter l’activité ransomware de septembre 2025 et ses évolutions techniques.
🧠 TTPs et IOCs détectés
TTPs
Bypass MFA via vol de seeds OTP sur SonicWall VPN, UEFI bootkit avec contournement Secure Boot (CVE-2024-7344) et chiffrement du MFT, Génération de payloads runtime par IA (GPT-4) pour évasion défensive, Abus de LOLBins, chiffrement PowerShell à la volée, Vishing assisté par IA, abus Azure AD SSPR, exploitation de VMware ESXi, Livraison modulaire (CountLoader) de Cobalt Strike, AdaptixC2, PureHVNC RAT.
IOCs
Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.
🔗 Source originale : https://www.cyfirma.com/research/tracking-ransomware-september-2025/