Selon Dragos, ce rapport de menace couvre le T3 2025 (juillet-septembre) et analyse les tendances ransomware visant les environnements ICS/OT et les systèmes IT qui soutiennent les opérations industrielles.

• Volume et cibles : Dragos recense 742 incidents ransomware (+) touchant des entités industrielles, avec l’Amérique du Nord en tête, suivie de l’Europe puis de l’Asie (hausse en Thaïlande). Le secteur manufacturier concentre 72% des cas (532), dont la construction (142) comme sous-secteur le plus affecté. D’autres secteurs en hausse incluent gouvernement (35) et électrique/renouvelables (16). Les impacts montrent comment des intrusions IT peuvent perturber la production et la logistique sans toucher directement les réseaux ICS.

• Acteurs et écosystème : Qilin reste le groupe le plus actif avec 138 incidents, suivi d’Akira (94), Play (64) et INC Ransom (51). Le paysage demeure fragmenté, avec de nombreux opérateurs émergeants (ex. Gentlemen, Sinobi) s’appuyant sur des affiliés, IABs, builders fuité et outils assistés par IA. LockBit 5.0 tente un retour après l’opération Cronos (2024) mais reste marginal au T3, ses affiliés ayant migré vers RansomHub puis Qilin. Les collectifs d’extorsion centrés sur l’identité étendent leur portée aux environnements entreprise qui soutiennent la fabrication, la logistique et le transport.

• Groupes émergents marquants : Gentlemen (39 victimes revendiquées dont 16 industrielles) opère en équipe fermée non-RaaS, utilise identifiants compromis, modification GPO, arrêt des services de sécurité/sauvegarde et exfiltration chiffrée via WinSCP avant chiffrement. Sinobi (42 victimes dont 23 industrielles) s’appuie sur accès IAB, kits de phishing, et exploitation de VPN/Citrix/Fortinet; usage de comptes tiers compromis pour atteindre le domaine et la chaîne d’approvisionnement. Aucun de ces groupes n’a démontré d’activité ICS de stade 2 au T3, mais ils ciblent de manière cohérente l’IT supportant la production.

• Collectif identitaire Scattered Lapsus$ Hunters : alliance d’opérateurs liés à Scattered Spider, ShinyHunters et LAPSUS$, misant sur ingénierie sociale help desk, abus MFA et comptes valides pour viser Azure AD, VPN/Citrix, ERP et virtualisation. Cas saillants au T3 : revendication d’intrusion chez Jaguar Land Rover (JLR) avec arrêts prolongés de production et de logistique; intrusion confirmée chez une institution financière US (enchaînement SSPR Azure AD, Citrix/VPN, comptes ESXi et sauvegardes, tentatives d’exfiltration Snowflake/AWS); activité dans l’aviation via un motif identitaire similaire.

• Incidents notables et techniques d’attaque (TTPs) :

  • Incidents: 🛢️ Pakistan Petroleum Limited (6 août) – impact IT, services non critiques suspendus; 🧩 Data I/O (16 août) – IT mondial sécurisé, perturbations communication/expéditions/production; 🚗 JLR (1er sept.) – coupures IT proactives, perturbations manufacturières ~5 semaines et chaîne fournisseur/retail; ✈️ Collins Aerospace (19 sept.) – perturbation check-in/embarquement aéroports, retards/annulations; 🍺 Asahi (29 sept.) – pannes systèmes, commandes/expéditions affectées plusieurs semaines, exfiltration confirmée.
  • Vulnérabilités exploitées: Fortinet (CVE-2024-55591, CVE-2024-21762), SonicWall SSLVPN (CVE-2024-40766), SimpleHelp RMM (CVE-2024-57726/57727/57728).
  • TTPs principaux: exploitation VPN/edge (SonicWall, Fortinet, Citrix), abus RMM (ScreenConnect via phishing), aide desk impersonation et MFA hijacking, achats d’accès IAB, identifiants compromis, exposition RDP, modification GPO, arrêt sauvegardes/sécurité, exfiltration chiffrée (WinSCP), bypass UAC, exécution DLL via regsvr32, chiffrement XChaCha20, chiffrement au niveau hyperviseur, ciblage ERP/MES/virtualisation. Dragos anticipe la poursuite de la fragmentation RaaS et l’essor de l’IA (phishing, reconnaissance, évasion) qui augmentent le rythme et l’impact.

Type d’article et objectif principal : analyse de menace visant à documenter les tendances ransomware industrielles au T3 2025, les acteurs dominants/émergents, les secteurs touchés, les vulnérabilités exploitées et les modes opératoires.

🔗 Source originale : https://www.dragos.com/blog/dragos-industrial-ransomware-analysis-q3-2025