Selon Emsisoft News (Luke Connolly, 7 janvier 2026), l’analyse des données 2025 issues de RansomLook.io et Ransomware.live met en lumière une hausse marquée des victimes de ransomware, la fragmentation de l’écosystème criminel et l’efficacité accrue de l’ingénierie sociale.

📈 Tendances chiffrées. Les victimes « revendiquées » par les groupes passent d’environ 5 400 en 2023 à 8 000+ en 2025 (selon les deux sources). La croissance 2025 sur 2024 atteint +46% (RansomLook) et +33% (Ransomware.live). Le nombre de groupes actifs progresse en parallèle (jusqu’à 126–141 en 2025), avec une moyenne de victimes par groupe restant globalement stable (~60–65 depuis 2023/2024), suggérant que la fragmentation maintient la cadence d’attaques.

🥇 Groupes dominants (sélection). Sur 2023–2025, les podiums varient, mais reviennent souvent LockBit 3, ALPHV/BlackCat, Cl0p, Play, Akira. En 2025, les deux jeux de données placent notamment Qilin, Akira, Cl0p et Play parmi les plus actifs, avec selon la source Safepay ou Incransom complétant le top 5.

🚓 Pression policière et disparitions. Plusieurs groupes cessent ou suspendent leurs activités en 2025, parfois après des interpellations ou saisies: RansomHub (dernier post 24 jan), Babuk-Bjorka (4 avr), FunkSec (19 mar), BianLian (31 mar), 8Base (1 fév, takedown LEO), Cactus (30 jan), Hunters International (20 jan, annonce d’arrêt). Malgré cela, l’écosystème reste décentralisé et résilient avec l’arrivée de nouveaux acteurs et des rebrandings.

🎭 Fédérations opportunistes et attaques marquantes. 2025 voit l’hyper-activité de Scattered Spider et ShinyHunters (notamment via des campagnes d’ingénierie sociale ciblant des clients Salesforce), des arrestations, et une alliance informelle avec Lapsus$ sous « Scattered LAPSUS$ Hunters » qui revendique une brèche chez Jaguar Land Rover (impact estimé à 2,55 Md$ sur le PIB UK). Le fil conducteur: des tactiques de persuasion téléphonique et l’usage croissant de deepfakes pour soutirer des identifiants.

🧭 Conclusion. La disruption sans déclin se confirme: les actions coordonnées fragmentent et déstabilisent des groupes, mais n’entraînent pas moins de victimes. L’article est une rétrospective analytique visant à dresser l’état du ransomware en 2025 et à souligner le rôle central des facteurs humains dans les compromissions.

IOCs et TTPs

  • IOCs: non précisés
  • TTPs: ingénierie sociale téléphonique pour obtenir des identifiants; deepfakes pour accroître la crédibilité; modèle RaaS/affiliés; rebranding/splintering; exfiltration et chantage via sites de fuite (DLS); ciblage d’utilisateurs/clients Salesforce

🔗 Source originale : https://www.emsisoft.com/en/blog/47215/the-state-of-ransomware-in-the-u-s-report-and-statistics-2025/