🔍 Contexte

Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité.

📊 Paysage ransomware 2025

  • Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50%
  • La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos)
  • Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022)
  • LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide
  • REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents
  • Montée en puissance des opérations de data theft extortion seule (sans chiffrement)
  • Ciblage croissant des petites organisations (moins de 200 employés)
  • Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures
  • Intégration de l’IA dans les opérations (négociations, analyse des victimes)
  • Doublement des familles ransomware cross-platform (Windows + Linux)

🎯 Vecteurs d’accès initial

  • Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement)
    • Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693
    • SonicWall : CVE-2024-40766
    • Palo Alto : CVE-2024-3400
    • Citrix : CVE-2023-4966
    • Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357)
    • SAP NetWeaver : CVE-2025-31324
    • CrushFTP : CVE-2025-31161
    • CVE-2025-8088 exploité en zero-day par UNC2165
    • CVE-2025-61882 exploité contre Oracle EBS (CL0P)
  • Credentials volés : 21% des incidents identifiés (VPN, RDP)
  • Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM)
  • Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an)
  • Accès via subsidiaires ou tiers (réseaux intermédiaires)
  • Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist

🔧 TTPs post-compromission

Établissement de foothold :

  • Tunnelers : PYSOXY, CHISEL, CLOUDFLARED, RPIVOT, REVSOCKS.CLIENT, LIONSHARE, VIPERTUNNEL, BLUNDERBLIGHT
  • Backdoors : CORNFLAKE.V3.JAVASCRIPT, SQUIDGATE, FIREHAWK, HAVOCDEMON, SMOKEDHAM
  • RMMs : AnyDesk, ScreenConnect, Splashtop, Atera, RustDesk, Teramind
  • BEACON (Cobalt Strike) en chute libre : 2% en 2025 vs 60% en 2021
  • Nouveaux frameworks : AdaptixC2 (~8%), MYTHIC, METASPLOIT, HAVOC, EXPLORATIONC2

Escalade de privilèges :

  • MIMIKATZ : 18% des incidents (en baisse)
  • Dump LSASS, NTDS.dit, SAM/SYSTEM/SECURITY hives
  • Kerberoasting, WDigest, DPAPI
  • Ciblage Veeam Backup & Replication (~10% des incidents)
  • Ciblage navigateurs Chromium, KeePass, Bitwarden, Windows Credential Manager
  • CVE-2024-37085 pour accès ESXi

Mouvement latéral :

  • RDP : ~85% des incidents
  • SMB, SSH, PsExec, WinRM, WMIC
  • Manipulation des règles de pare-feu
  • Accès aux consoles VMware vSphere, Nutanix Prism Central

Exfiltration de données :

  • 77% des incidents impliquent un vol de données (vs 57% en 2024)
  • Rclone : ~28% des incidents avec vol de données
  • FTP/SFTP clients (FileZilla, WinSCP) : 26%
  • Cloud : Azure, AWS, MEGA, OneDrive, Backblaze, Google Drive
  • WinRAR, 7Zip pour compression

Déploiement ransomware :

  • 43% des incidents ciblent l’infrastructure de virtualisation (vs 29% en 2024)
  • Automatisation via batch scripts, GPO, tâches planifiées, clés de registre
  • BitLocker utilisé comme outil de chiffrement légitime
  • Suppression des snapshots/sauvegardes VSS, Veeam, Commvault
  • Désactivation de Windows Defender, EDR via drivers kernel signés (TERMINATOR, WATCHDOGKILLER, WARCLAW)

📋 Familles ransomware observées

REDBIKE, AGENDA, INC, LOCKBIT.WARLOCK, RANSOMHUB, CLOP, CONTI, MEDUSALOCKER.V2, RIFTTEAR, SAFEPAY, FOULFOG.LINUX, BABUK, NITROGEN, RHYSIDA, NINTHBEE, SILVERPINE, ODDSIDE, WHITERABBIT, INTERLOCK, FURYSTORM, FIREFLAME, PLAYCRYPT

📌 Type d’article

Rapport de recherche CTI publié par Google GTIG, basé sur les investigations Mandiant 2025. But principal : fournir une vue d’ensemble structurée des TTPs ransomware pour aider les équipes de sécurité à comprendre et anticiper les menaces.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • LockBit (cybercriminal)
  • ALPHV (cybercriminal)
  • Black Basta (cybercriminal)
  • RansomHub (cybercriminal)
  • Qilin (cybercriminal)
  • Akira (cybercriminal)
  • CL0P (cybercriminal)
  • FUNKSEC (cybercriminal)
  • BABUK 2.0 (cybercriminal)
  • UNC6357 (cybercriminal)
  • UNC2165 (cybercriminal)
  • UNC6016 (cybercriminal)
  • UNC2465 (cybercriminal)
  • UNC5833 (cybercriminal)
  • UNC6021 (cybercriminal)
  • UNC5471 (cybercriminal)
  • UNC5496 (cybercriminal)
  • UNC6098 (cybercriminal)
  • UNC5495 (cybercriminal)
  • UNC6276 (cybercriminal)
  • UNC5774 (cybercriminal)
  • FIN6 (cybercriminal)
  • Daixin (cybercriminal)
  • Gunra (cybercriminal)
  • Cry0 (cybercriminal)
  • DEADLOCK (cybercriminal)
  • GLOBAL RaaS (cybercriminal)
  • BERT (cybercriminal)
  • TridentLocker (cybercriminal)
  • Lynx (cybercriminal)
  • Sinobi (cybercriminal)
  • INC Ransom (cybercriminal)
  • WarLock (cybercriminal)

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Initial Access)
  • T1110 — Brute Force (Credential Access)
  • T1566 — Phishing (Initial Access)
  • T1199 — Trusted Relationship (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys (Persistence)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1574.001 — Hijack Execution Flow: DLL Search Order Hijacking (Persistence)
  • T1098 — Account Manipulation (Persistence)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)
  • T1003.002 — OS Credential Dumping: Security Account Manager (Credential Access)
  • T1003.003 — OS Credential Dumping: NTDS (Credential Access)
  • T1558.003 — Steal or Forge Kerberos Tickets: Kerberoasting (Credential Access)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1056 — Input Capture (Credential Access)
  • T1484.001 — Domain Policy Modification: Group Policy Modification (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1036 — Masquerading (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1620 — Reflective Code Loading (Defense Evasion)
  • T1018 — Remote System Discovery (Discovery)
  • T1082 — System Information Discovery (Discovery)
  • T1087 — Account Discovery (Discovery)
  • T1135 — Network Share Discovery (Discovery)
  • T1046 — Network Service Discovery (Discovery)
  • T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1021.004 — Remote Services: SSH (Lateral Movement)
  • T1021.006 — Remote Services: Windows Remote Management (Lateral Movement)
  • T1072 — Software Deployment Tools (Lateral Movement)
  • T1570 — Lateral Tool Transfer (Lateral Movement)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1567.002 — Exfiltration Over Web Service: Exfiltration to Cloud Storage (Exfiltration)
  • T1048 — Exfiltration Over Alternative Protocol (Exfiltration)
  • T1560.001 — Archive Collected Data: Archive via Utility (Collection)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T1489 — Service Stop (Impact)
  • T1491 — Defacement (Impact)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1090 — Proxy (Command and Control)
  • T1572 — Protocol Tunneling (Command and Control)
  • T1219 — Remote Access Software (Command and Control)
  • T1588.002 — Obtain Capabilities: Tool (Resource Development)
  • T1583 — Acquire Infrastructure (Resource Development)

IOC

  • Domaines : akiralkzxzq2dsrzsr4k5zmjvzngg6ihi2epnxtqn4q4rdijjochfyd.onion
  • Domaines : akiral2iz6a7qgd3aypdjpqfakf2evavpzsplk3vj4fhxnbiqrmqnpyd.onion
  • Domaines : gwfn6l3bk45o2zecviyvqmr5bxqnhqbjnficrvqbxf6mxvbdnqmqnpyd.onion
  • CVEs : CVE-2024-21762
  • CVEs : CVE-2024-55591
  • CVEs : CVE-2019-6693
  • CVEs : CVE-2024-40766
  • CVEs : CVE-2024-3400
  • CVEs : CVE-2023-4966
  • CVEs : CVE-2021-27877
  • CVEs : CVE-2021-27878
  • CVEs : CVE-2021-40539
  • CVEs : CVE-2025-53770
  • CVEs : CVE-2025-53771
  • CVEs : CVE-2025-31324
  • CVEs : CVE-2025-8088
  • CVEs : CVE-2025-61882
  • CVEs : CVE-2024-37085
  • CVEs : CVE-2025-31161
  • Fichiers : akira_readme.txt
  • Fichiers : Veeam-Get-Creds.ps1
  • Fichiers : msedge.dll
  • Fichiers : filerw
  • Fichiers : enc_lin
  • Fichiers : rsync
  • Fichiers : WAVECALL

Malware / Outils

  • REDBIKE (Akira) (ransomware)
  • AGENDA (ransomware)
  • AGENDA.ESXI (ransomware)
  • AGENDA.RUST (ransomware)
  • INC (ransomware)
  • INC.LINUX (ransomware)
  • LOCKBIT.WARLOCK (ransomware)
  • LOCKBIT.BLACK (ransomware)
  • LOCKBIT.UNIX (ransomware)
  • RANSOMHUB (ransomware)
  • CLOP (ransomware)
  • CLOP.LINUX (ransomware)
  • CONTI (ransomware)
  • MEDUSALOCKER.V2 (ransomware)
  • RIFTTEAR (ransomware)
  • SAFEPAY (ransomware)
  • FOULFOG.LINUX (ransomware)
  • BABUK (ransomware)
  • BABUK.MARIO (ransomware)
  • NITROGEN (ransomware)
  • RHYSIDA (ransomware)
  • NINTHBEE (ransomware)
  • SILVERPINE (ransomware)
  • ODDSIDE (ransomware)
  • WHITERABBIT (ransomware)
  • INTERLOCK (ransomware)
  • FURYSTORM (ransomware)
  • FIREFLAME (ransomware)
  • PLAYCRYPT (ransomware)
  • PLAYCRYPT.LINUX (ransomware)
  • DOLLARLOCKER (ransomware)
  • TridentLocker (ransomware)
  • Cobalt Strike BEACON (framework)
  • AdaptixC2 (ADAPTAGENT) (framework)
  • MYTHIC (framework)
  • MYTHICAGENT (framework)
  • METASPLOIT (framework)
  • HAVOC (framework)
  • HAVOCDEMON (framework)
  • EXPLORATIONC2 (framework)
  • AMNESIAC (framework)
  • MIMIKATZ (tool)
  • LAZAGNE (tool)
  • SMOKEDHAM (backdoor)
  • SQUIDGATE (backdoor)
  • FIREHAWK (backdoor)
  • CORNFLAKE.V3.JAVASCRIPT (backdoor)
  • SQUIDSLEEP (loader)
  • BULLZLINK (loader)
  • WAVECALL (loader)
  • SYSTEMBC (tool)
  • SYSTEMBC.LINUX (tool)
  • CLOUDFLARED (tool)
  • CHISEL (tool)
  • PYSOXY (tool)
  • RPIVOT (tool)
  • REVSOCKS.CLIENT (tool)
  • LIONSHARE (tool)
  • VIPERTUNNEL (tool)
  • BLUNDERBLIGHT (tool)
  • SLEETSEND (tool)
  • Rclone (tool)
  • MEGASync (tool)
  • Megatools (tool)
  • FileZilla (tool)
  • WinSCP (tool)
  • WinRAR (tool)
  • 7Zip (tool)
  • AzCopy (tool)
  • IMPACKET (tool)
  • IMPACKET.SMBEXEC (tool)
  • PowerSploit (tool)
  • NetExec (tool)
  • PsExec (tool)
  • Advanced IP Scanner (tool)
  • SoftPerfect Network Scanner (NETSCAN) (tool)
  • Angry IP Scanner (tool)
  • AnyDesk (tool)
  • ScreenConnect (tool)
  • Splashtop (tool)
  • Atera (tool)
  • RustDesk (tool)
  • Teramind (tool)
  • TERMINATOR (tool)
  • WATCHDOGKILLER (tool)
  • WARCLAW (tool)
  • IOBIT (tool)
  • KiTTY (tool)
  • PuTTY (tool)
  • restic (tool)
  • OpenSSH (tool)
  • BitLocker (tool)

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/ransomware-ttps-shifting-threat-landscape?hl=en