🌐 Contexte
Source : Cyble (cyble.com), publié le 26 mars 2026. Ce rapport couvre la période juillet 2024 – juin 2025 et analyse la menace ransomware pesant sur le secteur de l’énergie et des utilities à l’échelle mondiale.
📊 Chiffres clés
Sur la période analysée, le secteur énergétique a enregistré :
- 187 attaques ransomware confirmées
- 57 événements de fuite ou violation de données
- 37 incidents de vente d’accès réseau compromis sur des forums criminels
- Plus de 39 000 posts hacktivistes ciblant les infrastructures énergétiques
🎯 Groupes ransomware les plus actifs
- RansomHub : 24 incidents (12,8 %)
- Akira : 20 incidents (10,7 %)
- Play : 18 incidents (9,6 %)
- Qilin et Hunters/Lynx complètent le top 5, responsables collectivement de près de 50 % des incidents
🗺️ Distribution géographique
L’Amérique du Nord concentre plus d’un tiers des attaques ransomware. L’Asie et l’Europe absorbent également des parts significatives des ventes d’accès compromis et des violations de données.
🔓 Courtiers d’accès initial (IAB)
Trois acteurs dominent les ventes d’accès au secteur énergétique : Zerosevengroup, mommy et miyako, représentant environ 27 % des offres observées. Parmi les annonces notables :
- Mars 2025 : ZeroSevenGroup propose un accès admin à une société émiratie d’eau et d’électricité, avec portée sur 5 000 hôtes réseau
- Accès à une filiale d’une centrale électrique indonésienne
- Accès niveau contrôle à une plateforme française de traitement des eaux usées
🏭 Vecteurs de vulnérabilité
- Systèmes OT legacy utilisant des protocoles obsolètes (Modbus, DNP3)
- Convergence IT-OT créant des chemins d’attaque vers les SCADA
- Surface d’attaque distribuée géographiquement
- Délai médian de remédiation : 21 jours, contre une exploitation des CVE en 72 heures après divulgation publique
Systèmes explicitement ciblés :
- ABB ASPECT (sous-stations)
- Siemens SENTRON PAC3200 (compteurs d’énergie)
- Onduleurs solaires déployés en masse
- Instances Jira, VMware, Ivanti, Fortinet, Schneider Electric
🪓 Hacktivisme OT
Le groupe pro-russe Sector 16 a revendiqué, avec preuves vidéo, la manipulation d’interfaces OT dans des installations pétrolières et gazières américaines (systèmes d’arrêt, contrôles de vannes, gas-lift). Le groupe Golden Falcon Team a revendiqué l’accès à une plateforme française de surveillance des eaux usées avec contrôle des paramètres pH, température et distribution.
💥 Incidents notables
- Halliburton (août 2025) : perte déclarée de 35 millions de dollars suite à une attaque ransomware
- Société municipale d’énergie ukrainienne (Lviv) : attaque via FrostyGoop, coupure de chauffage en températures négatives
- NovaScotia Power : données de 280 000 clients exposées
- Colonial Pipeline (mai 2021, référence historique) : rançon de 5 millions de dollars, pénuries de carburant sur la côte Est américaine
📄 Nature de l’article
Il s’agit d’un rapport sectoriel de threat intelligence publié par Cyble, visant à documenter et quantifier la menace ransomware sur le secteur énergétique mondial pour la période 2024-2025, en vue d’orienter les décideurs sécurité du secteur.
🧠 TTPs et IOCs détectés
Acteurs de menace
- RansomHub (cybercriminal)
- Akira (cybercriminal)
- Play (cybercriminal)
- Qilin (cybercriminal)
- Hunters International (cybercriminal)
- Zerosevengroup (cybercriminal)
- Sector 16 (hacktivist)
- Golden Falcon Team (hacktivist)
TTP
- T1566 — Phishing (Initial Access)
- T1078 — Valid Accounts (Initial Access)
- T1486 — Data Encrypted for Impact (Impact)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1210 — Exploitation of Remote Services (Lateral Movement)
- T1583.008 — Acquire Access (Resource Development)
- T1071 — Application Layer Protocol (Command and Control)
Malware / Outils
- FrostyGoop (other)
🔗 Source originale : https://cyble.com/blog/energy-sector-ransomware-attack-report/