ReliaQuest (Threat Spotlight) publie une analyse du paysage ransomware au T3 2025, mettant en avant une intensification des menaces, des évolutions tactiques notables et des mesures défensives recommandées.
📈 Le trimestre enregistre un record de 81 sites de fuite de données actifs. Le paysage se fragmente, de plus petites équipes comblant le vide laissé par de grandes opérations, ce qui entraîne des schémas d’attaque imprévisibles touchant de nouveaux secteurs et régions. La Thaïlande subit une hausse de 69 % des attaques, tandis que le secteur de la santé progresse de 31 %, porté par des groupes émergents. Qilin reste le groupe le plus actif avec un nombre record de victimes listées.
🕷️ Côté acteurs, Scattered Spider lance son premier ransomware-as-a-service (ShinySp1d3r RaaS). LockBit revient avec LockBit 5.0, désormais autorisant le ciblage des infrastructures critiques. Une alliance stratégique est annoncée entre LockBit, DragonForce et Qilin.
🧪 Tendances techniques observées : les affiliés exploitent des accès VPN et RDP fournis par des courtiers d’accès initiaux (IABs), procèdent à des chiffrements à distance via SMB, et exploitent des vulnérabilités exposées publiquement, notamment sur des équipements SonicWall. Les vitesses d’attaque s’accélèrent avec une mouvance latérale en six minutes seulement.
🛡️ Mesures défensives mises en avant : authentification par certificats liés aux appareils pour l’accès distant, segmentation réseau selon le modèle Purdue pour les environnements OT, protection de confinement de fichiers dans les EDR, et réponse automatisée via des plateformes comme ReliaQuest GreyMatter.
🔄 Évolution tactique : bascule vers des opérations RaaS anglophones et autorisation explicite de viser les infrastructures critiques par LockBit 5.0, marquant une évolution significative de l’écosystème ransomware. Type : analyse de menace visant à synthétiser l’activité ransomware du T3 2025.
🧠 TTPs et IOCs détectés
TTPs
Exploitation des accès VPN et RDP, chiffrement à distance via SMB, exploitation de vulnérabilités sur des équipements SonicWall, mouvance latérale rapide, ransomware-as-a-service (RaaS), ciblage des infrastructures critiques, segmentation réseau selon le modèle Purdue, authentification par certificats liés aux appareils, protection de confinement de fichiers dans les EDR, réponse automatisée via des plateformes de sécurité
IOCs
Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.
🔗 Source originale : https://reliaquest.com/blog/threat-spotlight-ransomware-and-cyber-extortion-in-q3-2025/