Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

The State of Ransomware – Q1 2026

2 minute de lecture

Mis à jour :

État des lieux du ransomware : Premier trimestre 2026

Le premier trimestre 2026 marque un tournant dans l’écosystème du ransomware, passant d’une fragmentation extrême à une phase de consolidation. Bien que le volume d’attaques se stabilise à un niveau élevé (2 122 victimes enregistrées), le marché est désormais dominé par un cercle restreint d’acteurs majeurs.

Points clés

  • Consolidation accrue : Les 10 principaux groupes de ransomware sont responsables de 71 % des attaques, inversant la tendance à la dispersion observée en 2025.
  • Domination et résilience : Des groupes comme Qilin, Akira, The Gentlemen et LockBit captent 41 % des victimes. Cette concentration favorise des acteurs plus techniquement avancés et mieux organisés.
  • Stratégies divergentes : Les tactiques varient selon les groupes, certains ciblant des secteurs spécifiques pour maximiser la pression (ex. : Akira sur l’industrie) ou exploitant massivement des vulnérabilités logicielles (ex. : Cl0p).
  • Nouveaux acteurs : L’émergence de The Gentlemen est l’événement majeur du trimestre, propulsé par le vol de données et l’exploitation massive de dispositifs FortiGate.
  • Adaptation géographique : En réponse aux pressions policières, plusieurs groupes (notamment LockBit) réorientent leurs cibles hors des États-Unis vers des régions comme le Brésil, la Turquie ou la Thaïlande.

Vulnérabilités exploitées

  • CVE-2024-55591 : Vulnérabilité critique de contournement d’authentification dans FortiOS/FortiProxy. Utilisée par The Gentlemen pour accéder à un stock massif de 14 700 dispositifs pré-exploités.
  • CVE-2025-61882 : Exploitation massive d’Oracle E-Business Suite (EBS) par le groupe Cl0p, entraînant une concentration disproportionnée de victimes dans les services aux entreprises.

Recommandations

  • Prioriser le patch management : La mise à jour immédiate des équipements réseau (spécifiquement les pare-feu/VPN FortiGate) est critique pour contrer les stocks d’accès existants des attaquants.
  • Renforcer la surveillance des accès : Au-delà des correctifs, auditer les identifiants VPN existants, car de nombreux groupes utilisent des accès compromis de longue date.
  • Stratégie de défense sectorielle : Les entreprises des secteurs à haute disponibilité (production, industrie, santé) doivent renforcer leur résilience face aux groupes ciblant spécifiquement la disruption opérationnelle (type Akira).
  • Veille contre le “Targeting” : Les organisations situées dans des zones géographiques récemment ciblées (Thaïlande, Brésil, etc.) doivent accroître leur vigilance, car les profils de menace y sont dictés par les stocks d’accès spécifiques des attaquants.

Source

Vous pourriez aimer