LockBit

🌐 Contexte Publié le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complète des cybermenaces pesant sur l’Union européenne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les développements observés principalement en 2025. 🎯 Principaux vecteurs de menace identifiés Ransomware Plus de 120 familles de ransomware actives observées par Europol en 2025 Modèle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opérations Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncée sur le dark web Tactiques d’extorsion multi-couches : exfiltration de données, DDoS simultanés, cold-calling, pression psychologique Shift de l’extorsion : de la demande de déchiffrement vers la menace de publication des données Fraude en ligne (OFS) Fraude représentant la zone de croissance la plus rapide de la criminalité organisée Typologies principales : fraude à l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements Usage massif de SIM boxes / SIM farms (ex : réseau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés) Montée des IMSI catchers et SMS blasters pour contourner les protocoles KYC Drainers de cryptomonnaies maturés en système CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024) Attaques relay sur terminaux de paiement en hausse dans l’UE Adoption de l’IA générative pour personnaliser l’ingénierie sociale, scripts d’appel, chatbots de pré-sélection des victimes Infrastructure criminelle Dark web : fragmentation des marketplaces généralistes, émergence de plateformes spécialisées Démantèlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; émergence de BlackOps, TorZon, Nexus Market DarkForums successeur de BreachForums Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle Proxies résidentiels pour masquer le trafic malveillant Abus DNS pour phishing, C2 de botnets, distribution de malwares Démantèlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixés depuis 2016, novembre 2025) Montée des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment Menaces hybrides et DDoS Acteurs étatiques utilisant des réseaux cybercriminels comme proxies pour des opérations de déstabilisation NoName057(16) : réseau pro-russe ciblant gouvernements et entreprises, démantelé partiellement lors de l’Opération Eastwood (juillet 2025, 19 pays impliqués) DDoS lors du Sommet OTAN de La Haye (juin 2025) Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncée août 2025) Exploitation sexuelle des enfants en ligne (CSAM) Kidflix démantelé (1,8M utilisateurs, 80 000 vidéos, 1 400 suspects identifiés, 39 enfants protégés) Hausse de 70% des signalements de sextorsion financière (NCMEC, H1 2025 vs H1 2024) CSAM généré par IA en forte progression (modèles text-to-image, text-to-video, image-to-image) Réseau The Com : communautés en ligne mêlant CSE, cyberattaques, extorsion, violence extrême Plateforme Help4U lancée par Europol en novembre 2025 pour soutenir les victimes mineures 🔧 Opérations de police majeures citées Opération Endgame : démantèlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de données Archetyp Market : arrestation de l’administrateur à Barcelone NoName057(16) : Opération Eastwood, 9 arrestations, +100 serveurs perturbés Réseau SIM box letton : 7 arrestations (octobre 2025) CSAM IA : 25 arrestations mondiales, 273 suspects identifiés 📋 Type d’article Il s’agit d’un rapport stratégique annuel publié par Europol, destiné aux décideurs stratégiques, politiques et opérationnels des autorités répressives de l’UE. Son but principal est de fournir une évaluation structurée et factuelle du paysage des cybermenaces pour orienter les priorités opérationnelles et politiques en matière de lutte contre la cybercriminalité. ...

🔍 Contexte Publié le 19 avril 2026 par Huntress, cet article de threat intelligence documente une recrudescence d’incidents liés à l’exploitation de Bomgar RMM (rebaptisé BeyondTrust Remote Support), observée par le SOC Huntress depuis début avril 2026. 🛡️ Vulnérabilité exploitée La faille CVE-2026-1731, de sévérité critique, permet à un attaquant non authentifié d’exécuter du code à distance sur des instances Bomgar. BeyondTrust a publié un correctif le 6 février 2026 (version 25.3.2 pour Remote Support, version 25.1 pour Privileged Remote Access). Les organisations impactées utilisaient des versions obsolètes, notamment la version 21.1.3. ...

📋 Contexte Publié en avril 2026 par InterCERT France (communauté de plus de 130 CERT français), ce rapport d’incidentologie analyse 366 incidents de sécurité documentés en 2025 par 66 membres (40 CERT internes, 21 CERT externes, 5 CERT institutionnels), en hausse de 154 incidents par rapport à 2024. L’étude a été conduite avec l’appui de Wavestone via l’outil « Le Sphinx ». 🎯 Ciblage et motivations Les attaques opportunistes restent largement majoritaires (83% des cas déterminés) Les attaques ciblées ne représentent que 17% de l’échantillon La motivation financière domine (72% des attaques) Les grandes entreprises sont presque deux fois plus ciblées par des attaques d’espionnage, d’influence et de déstabilisation Les 3 secteurs les plus touchés : santé/action sociale (+515% vs 2024), industrie manufacturière (+34%), administration publique (+45%) 🦠 Outils et techniques Près d’une attaque outillée sur trois utilise un rançongiciel Les infostealers constituent le deuxième type d’outil le plus utilisé, en forte hausse en 2025 (campagnes ClickFix et EpiBrowser) La technique la plus observée : exploitation de comptes légitimes (Valid Accounts), centrale dans les kill-chains 2025 Les backdoors et RATs sont utilisés pour établir une persistance avant déploiement de ransomware 34% des systèmes ciblés sont des environnements Microsoft 💥 Rançongiciels — focus 266 attaques recensées par l’OFAC en 2025, en baisse de 37% vs 2024 et 89% vs 2023 Familles les plus actives : Qilin, LockBit, Akira (toutes des franchises RaaS) Qilin revendique une attaque contre l’académie d’Amiens (10 octobre 2025), touchant 80% des lycées publics des Hauts-de-France et vol de plus d'1 To de données ; l’ANSSI recense plus de 700 revendications Qilin en 2025 Le secteur santé est le plus touché, avec une multiplication par deux des incidents vs 2024 85% des attaques par rançongiciel nécessitent une reconstruction partielle ou totale du SI Les PME sont les plus touchées proportionnellement Double levier de négociation : chiffrement du SI + chantage à la fuite de données 🕵️ Infostealers — focus Hausse importante des incidents impliquant des infostealers en 2025 Utilisés dans 13% des cas en amont de l’exécution d’un rançongiciel Dans 1 cas sur 3, combinés avec des backdoors ou RATs Impacts principaux : fuite/vol de données (36%), arrêts d’activité (18%), campagnes de phishing ultérieures (13%) Actifs les plus touchés : comptes utilisateurs, comptes de messagerie, postes utilisateurs 🌐 Attaques non-lucratives — focus Échantillon de 44 incidents à motivation non-lucrative Majorité liée à l’espionnage et au pré-positionnement Les attaques de déstabilisation passent principalement par des DDoS (notamment contre les administrations publiques) Les infostealers sont majoritairement utilisés à des fins de pré-positionnement Les grandes entreprises sont les plus touchées par tous types d’attaques non-lucratives 📊 Type d’article Il s’agit d’un rapport statistique d’incidentologie à visée opérationnelle et décisionnelle, produit par une communauté nationale de CERT. Son but principal est de présenter les tendances de la menace cyber en France en 2025 à partir de données terrain déclaratives, et de fournir des éléments comparatifs avec l’année 2024. ...

📋 Contexte : Rapport semestriel publié le 30 mars 2026 par l’Office fédéral de la cybersécurité (OFCS) suisse, couvrant la période juillet–décembre 2025. Premier rapport intégrant à la fois les déclarations volontaires et les 145 déclarations obligatoires issues de la nouvelle loi en vigueur depuis le 1er avril 2025 pour les infrastructures critiques. 📊 Statistiques clés : 29 006 déclarations volontaires reçues au S2 2025 52 % des annonces concernent la fraude 57 incidents ransomware signalés directement (79 au total toutes sources confondues) 73 cas de Business Email Compromise (BEC) au S2 2025 Secteurs les plus touchés par les déclarations obligatoires : secteur public (25 %), IT/télécoms (18 %), finance/assurances (15,7 %) 🦠 Ransomware – menace dominante : ...

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

🏛️ Contexte Le 20 mars 2026, Graeme Biggar, directeur général de la National Crime Agency (NCA) britannique, a prononcé un discours lors du lancement de l’évaluation stratégique nationale de l’agence. Il y a alerté sur la convergence croissante des formes de criminalité en ligne. 🎯 Points clés du discours Biggar a décrit comment les mêmes espaces en ligne toxiques et algorithmes transforment des adolescents en cybercriminels, délinquants sexuels et terroristes. Il a souligné que la technologie ne se contente plus d’être un outil pour les criminels, mais remodèle la criminalité elle-même en l’accélérant et en la mondialisant. ...

Source: National Cyber Security Centre (NCSC, Suisse) — Semi-Annual Report 2025/I (janvier–juin 2025). Le NCSC constate un volume d’incidents stabilisé à un niveau élevé (35 727 signalements, dont 58 % de fraude) et une situation globale relativement stable malgré l’innovation des attaquants. Les thèmes majeurs restent phishing, malware/ransomware, vulnérabilités, fraude et ingénierie sociale, DDoS hacktiviste, fuites/exfiltration et cyberespionnage. Depuis le 1er avril 2025, le signalement obligatoire pour les infrastructures critiques est en vigueur. ...

Source: Check Point Blog (Check Point Research), 23 octobre 2025. Contexte: après la disruption d’«Operation Cronos» début 2024, le groupe de ransomware LockBit réapparaît, relance son modèle RaaS et extorque déjà de nouvelles victimes. • Retour confirmé et nouvelles victimes 🚨: CPR indique que LockBit est de nouveau opérationnel et a ciblé une douzaine d’organisations en septembre 2025. Environ la moitié des cas impliquent la nouvelle variante LockBit 5.0 (« ChuongDong »), le reste étant attribué à LockBit Black. ...

Selon PolySwarm, cette analyse détaille l’évolution de LockBit 5.0, un rançongiciel plus sophistiqué et multi‑plateforme qui vise des environnements Windows, Linux et VMware ESXi avec des techniques avancées d’obfuscation et d’anti‑analyse. LockBit 5.0 présente une architecture cross‑plateforme permettant des attaques unifiées à l’échelle de l’entreprise. La variante ESXi est jugée particulièrement préoccupante car elle peut compromettre des infrastructures de virtualisation entières. Le code partage des similarités avec LockBit 4.0, confirmant une évolution itérative, et le malware intègre des « garde‑fous géopolitiques ». 🧬 ...

Source et contexte — L’Australian Institute of Criminology (AIC), dans sa série « Trends & issues in crime and criminal justice » n°719 (septembre 2025), publie une étude quantitative sur les groupes de rançongiciels visant des organisations en Australie, Canada, Nouvelle‑Zélande et Royaume‑Uni entre 2020 et 2022, à partir des données issues des sites d’extorsion suivis par Recorded Future et d’autres sources ouvertes (865 attaques au total). Les secteurs victimes ont été catégorisés via gpt‑3.5‑turbo (validation 89%). ...