RaaS

Source et contexte — L’Australian Institute of Criminology (AIC), dans sa série « Trends & issues in crime and criminal justice » n°719 (septembre 2025), publie une étude quantitative sur les groupes de rançongiciels visant des organisations en Australie, Canada, Nouvelle‑Zélande et Royaume‑Uni entre 2020 et 2022, à partir des données issues des sites d’extorsion suivis par Recorded Future et d’autres sources ouvertes (865 attaques au total). Les secteurs victimes ont été catégorisés via gpt‑3.5‑turbo (validation 89%). ...

Contexte — L’extrait cite le Threat Debrief de Bitdefender et dresse un état des lieux 2025 où SafePay, auparavant discret, devient un acteur marquant du paysage ransomware. • Chiffres clés: plus de 270 victimes revendiquées depuis le début de l’année. En juin, SafePay arrive en tête du classement de Bitdefender avec 73 organisations revendiquées en un mois. En juillet, le groupe annonce 42 nouvelles victimes, son deuxième meilleur total mensuel. ...

Selon Pointwild, cette fiche de threat intelligence présente DragonForce, un ransomware‑as‑a‑service apparu mi‑2023 et attribué à la Malaisie, avec un focus sur ses tactiques de multi‑extorsion, ses cibles récentes au Royaume‑Uni et ses mécanismes techniques d’évasion et de persistance. Le groupe opère un modèle RaaS et mène une multi‑extorsion: chiffrement des données et exfiltration d’informations sensibles. Début 2025, il a étendu ses opérations via un service « white‑label » nommé Ransom Bay et a ciblé des détaillants britanniques, dont Marks & Spencer et Harrods. ...

Selon Flashpoint, en 2025, les groupes de Ransomware-as-a-Service (RaaS) reconfigurent le paysage des menaces, avec une hausse de 179% des attaques d’une année sur l’autre et un recul de groupes auparavant dominants comme LockBit et BlackCat. Points clés 🔎 RaaS en forte progression, redessinant la dynamique des menaces en 2025. +179% d’attaques d’une année sur l’autre, d’après le suivi de Flashpoint. Déclin des acteurs historiques LockBit et BlackCat. Enjeux et contexte ...

Selon SuspectFile (SuspectFile.com), cette interview présente Securotrop, un groupe de ransomware apparu début 2025 qui opère comme affilié RaaS sur l’écosystème Qilin, avec une image séparée et une approche sélective centrée sur l’exploitation des données exfiltrées. • Positionnement et cible: Securotrop se veut distinct par une focalisation sur l’analyse des documents exfiltrés (états financiers, P&L, listes d’actifs, clients, documents opérationnels). Le groupe affirme éviter les secteurs santé et gouvernement pour viser des cibles commerciales et maintient un blog .onion indépendant listant actuellement 10 victimes au format texte. L’objectif est de bâtir une réputation de constance dans la tenue des promesses de publication/leak. 🔎 ...

Contexte: S2W TALON (blog Medium du S2W Threat Intelligence Center) publie un rapport statistique et analytique sur l’écosystème ransomware au premier semestre 2025 (1er janv. – 30 juin 2025). • Volume et tendances clés 📊 3 624 victimes listées sur des sites de fuite, soit +58,4 % vs S1 2024, avec un pic en mars (émergence de 13 nouveaux groupes et exploitation de la vulnérabilité Cleo CVE-2024-55956 par TA505/CL0P). 91 groupes actifs, dont 51 nouveaux (RaaS en expansion, comportements plus imprévisibles). Le top 10 concentre 60,3 % des attaques. Baisse du taux de paiement (données Coveware), poussant les groupes à viser PME et cibles plus larges. États‑Unis les plus touchés (56,6 % des cas), corrélation avec le PIB et l’industrialisation numérique. Secteurs les plus touchés: Business Services (16,2 %, en forte hausse), apparition de la finance dans le top 10; gouvernements: 92 attaques (2,5 %), en nette hausse. • Groupes, rebrandings et écosystème 🔗 ...

L’article publié le 24 juillet 2025 met en lumière l’apparition d’un nouveau groupe de Ransomware-as-a-Service (RaaS) nommé Chaos. Ce groupe a émergé dès février 2025 et se distingue par la promotion active de son logiciel de ransomware multi-plateforme sur le forum cybercriminel russe Ransom Anon Market Place (RAMP). Le logiciel de ransomware de Chaos est compatible avec Windows, ESXi, Linux et les systèmes NAS, et se caractérise par des fonctionnalités telles que des clés de chiffrement individuelles pour chaque fichier, des vitesses de chiffrement rapides, et une capacité de balayage des ressources réseau. L’accent est mis sur une encryption rapide et des mesures de sécurité robustes. ...

Cet article, publié le 18 juillet 2025, met en lumière le groupe Qilin, un acteur significatif dans le domaine des cybermenaces. Initialement observé en juillet 2022 sous le nom d’Agenda ransomware, le groupe a été rebaptisé Qilin en septembre de la même année. Depuis février 2023, Qilin a évolué pour opérer en tant que Ransomware-as-a-Service (RaaS). Ce modèle permet à divers affiliés d’utiliser leur infrastructure pour mener des attaques de ransomware, en échange d’une part des rançons collectées. ...

Selon une annonce publiée sur le dark web, Hunters International, un acteur majeur dans le domaine des Ransomware-as-a-Service (RaaS), a décidé de fermer ses opérations. Le groupe cybercriminel Hunters International, connu pour son modèle Ransomware-as-a-Service (RaaS), a annoncé ce 3 juillet 2025 la fermeture officielle de ses opérations. Il propose désormais gratuitement des outils de déchiffrement aux victimes précédentes, afin qu’elles puissent récupérer leurs données sans verser de rançon. Une fermeture inattendue Dans un message publié sur leur site de fuite du dark web, les opérateurs de Hunters International déclarent : ...

Selon un rapport de Cybereason, le paysage des ransomwares connaît une période de réorganisation tumultueuse. Des groupes autrefois dominants comme RansomHub, LockBit, Everest et BlackLock ont récemment subi des fermetures soudaines, des échecs opérationnels et des attaques sur leurs infrastructures du dark web, révélant une instabilité profonde dans l’écosystème cybercriminel. En mars 2025, RansomHub, considéré comme le groupe de ransomwares le plus actif de 2024, a disparu sans explication. Ce groupe s’était imposé rapidement grâce à un modèle de Ransomware-as-a-Service (RaaS) bien huilé. Cependant, sa disparition subite a laissé ses victimes en pleine négociation, semant la confusion. En parallèle, d’autres sites de fuites de ransomwares ont subi des perturbations inattendues, notamment LockBit et Everest, ciblés par des acteurs anonymes se faisant appeler “XOXO from Prague”. ...