Selon le Centre canadien pour la cybersécurité (Cyber Centre, CSE), l’organisme publie le Ransomware Threat Outlook 2025 à 2027, sa dernière évaluation des menaces ransomware qui pèsent sur le Canada.
Le rapport décrit un écosystème de ransomware hautement sophistiqué et interconnecté, en évolution constante, et souligne que comprendre les tendances actuelles et émergentes est crucial pour mieux se préparer et atténuer les risques.
Le Centre canadien pour la cybersécurité (Cyber Centre) publie une évaluation prospective de l’évolution de la menace ransomware au Canada sur la période 2025–2027. Le rapport confirme que le ransomware demeure l’une des menaces cybercriminelles les plus persistantes, coûteuses et perturbatrices pour les organisations canadiennes, tous secteurs confondus.
Les auteurs estiment avec une très forte probabilité que les acteurs du ransomware ciblant le Canada soient opportunistes et motivés financièrement, avec un écosystème dominé par des groupes russophones opérant depuis l’espace CIS, appuyés par des affiliés mondiaux. La généralisation du Ransomware-as-a-Service (RaaS) a abaissé la barrière d’entrée, entraînant une hausse annuelle moyenne de 26 % des incidents signalés depuis 2021.
Le rapport met en évidence plusieurs évolutions structurantes :
- montée des stratégies de multi-extorsion (chiffrement + exfiltration + pression additionnelle) ;
- progression des attaques “exfiltration-only” (chiffrement non systématique) ;
- usage croissant de l’intelligence artificielle pour accélérer l’ingénierie sociale, la conduite d’opérations et l’optimisation des campagnes ;
- dépendance accrue aux cryptomonnaies et techniques de blanchiment (mixers, chain hopping). :contentReference[oaicite:2]{index=2}
Les infrastructures critiques, les PME, les organisations publiques, les MSP et les secteurs énergie, éducation, santé, commerce de détail restent particulièrement exposés. Le Cyber Centre rappelle que payer une rançon ne garantit ni la récupération ni l’arrêt de l’extorsion et peut exposer à des ré-extorsions.
🧠 TTPs et IOCs détectés
🔍 IOC observables
(le rapport ne fournit pas d’IOCs techniques “bruts” : domaines, IPs, hash ; il met surtout en avant des indicateurs comportementaux et contextuels) :contentReference[oaicite:4]{index=4}
- Écosystème RaaS / affiliés et sites de fuite (Dedicated Leak Sites)
- Monétisation via cryptomonnaies (ex. Bitcoin, Monero)
- Blanchiment via mixers et chain hopping
- Accès initial fréquemment lié à :
- identifiants compromis
- phishing
- services exposés et/ou non corrigés (RDP, VPN, appliances) :contentReference[oaicite:5]{index=5}
🧩 TTPs (extraits – alignement MITRE ATT&CK)
Accès initial
- Phishing (ciblé / opportuniste)
- Exploitation de vulnérabilités non corrigées
- Achat d’accès via Initial Access Brokers (IAB) :contentReference[oaicite:6]{index=6}
Exécution & Persistance
- Déploiement de charges via modèles RaaS
- Présence prolongée avant déclenchement (dormance) :contentReference[oaicite:7]{index=7}
Évasion & Défense
- Tentatives de désactivation / contournement des contrôles de sécurité
- Effacement / réduction des traces :contentReference[oaicite:8]{index=8}
Exfiltration & Impact
- Double / multi-extorsion
- Exfiltration de données sensibles
- Pressions additionnelles possibles (ex. perturbation, DDoS mentionné comme levier)
- Publication sur sites de fuite
- Risque de ré-extorsion après paiement :contentReference[oaicite:9]{index=9}
C2 / Monétisation
- Paiements en cryptomonnaies
- Usage de privacy coins
- Techniques de blanchiment (mixers, chaînage multi-chaînes) :contentReference[oaicite:10]{index=10}
Évolutions notables
- Usage accru de l’IA générative pour :
- industrialiser l’ingénierie sociale,
- accélérer certaines étapes opérationnelles,
- améliorer l’efficacité des campagnes. :contentReference[oaicite:11]{index=11}
Il s’agit d’une analyse de menace dont l’objectif est d’évaluer et de communiquer les tendances clés du ransomware au Canada pour la période 2025-2027.
🔗 Source originale : https://www.canada.ca/en/communications-security/news/2025/12/cyber-centre-releases-ransomware-threat-outlook-2025-to-2027.html