Ransomware

Le groupe Akira a été identifié pour la première fois en mars 2023. Il cible principalement les réseaux d’entreprises en Amérique du Nord, avec des attaques signalées dans des secteurs tels que l’éducation, la finance, l’assurance, l’immobilier, la fabrication, les loisirs et le conseil. Akira utilise des tactiques de double extorsion, volant des données sensibles avant de chiffrer les systèmes pour faire pression sur les victimes afin qu’elles paient une rançon. 

ALPHV — également connu sous le nom de BlackCat, AlphaV ou AlphaVM — est une opération de ransomware-as-a-service (RaaS) active depuis novembre 2021. Il est reconnu comme le premier groupe de ransomware à utiliser le langage Rust, permettant un malware plus rapide et adaptable. ALPHV est tristement célèbre pour ses tactiques de triple extorsion : chiffrement des fichiers, exfiltration des données sensibles et lancement d’attaques DDoS pour faire pression sur les victimes. 

RansomHub est un groupe RaaS détecté pour la première fois en février 2024, composé de membres du monde entier. Connu pour ses opérations structurées, RansomHub impose des règles strictes à ses affiliés lors des attaques — les violations peuvent entraîner des exclusions du groupe. Les organisations victimes sont publiquement nommées sur le site de fuite du darknet de RansomHub. Le groupe promet de ne pas attaquer les pays de la CEI, Cuba, la Corée du Nord, la Chine et la Roumanie. 

Qilin, également connu sous le nom d’Agenda, est un groupe RaaS qui a ciblé des organisations dans divers secteurs à l’échelle mondiale. Cet acteur de la menace est dirigé par un utilisateur connu sous le nom de « Qilin » sur les forums cybercriminels. Le groupe fournit des variantes personnalisées de ransomware à ses affiliés en échange d’une part des paiements de rançon. Le malware de Qilin est adapté aux cibles spécifiques, rendant ses attaques plus efficaces et difficiles à détecter. 

Clop est un groupe sophistiqué identifié en février 2019, connu pour cibler de grandes entreprises dans plusieurs secteurs. Il mène des attaques de ransomware et d’extorsion de données, exploitant souvent des vulnérabilités zero-day pour accéder aux réseaux. Clop a été lié à plusieurs campagnes majeures, notamment les attaques MOVEit Transfer, qui ont entraîné le vol de données sensibles et des millions en paiements de rançon. 

Le groupe Play — également connu sous le nom de PlayCrypt — est apparu en juin 2022, déployant son propre ransomware personnalisé. Play utilise un modèle de double extorsion, volant des données sensibles avant de chiffrer les fichiers. Si les victimes refusent de payer, les données volées sont publiées sur le site de fuite du groupe pour augmenter la pression. 

SafePay est un groupe émergent observé fin 2024. Il utilise un modèle de double extorsion, déployant une version modifiée de LockBit pour voler et chiffrer des données sensibles. 

Scattered Spider est un groupe cybercriminel motivé par l’argent, actif depuis mai 2022. Il cible principalement les télécommunications, les arts, le divertissement et récemment le commerce de détail. 

 Lynx est un groupe RaaS observé en juillet 2024. Il utilise des tactiques d’extorsion simple et double, évitant les institutions gouvernementales, hôpitaux et organisations à but non lucratif. 

Medusa est une plateforme RaaS identifiée en 2021, exploitant des vulnérabilités non corrigées pour accéder aux réseaux. 

DragonForce, détecté en novembre 2023, est un groupe émergent utilisant des techniques de double extorsion. 

KillSec a évolué d’un collectif hacktiviste vers un fournisseur RaaS, ciblant divers secteurs.